upravljanje sigurnoŠ Ću...
TRANSCRIPT
SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
DIPLOMSKI RAD br. 1637
UPRAVLJANJE SIGURNOŠĆU INFORMACIJA
Ivana Marijanović
Zagreb, prosinac 2006.
Hvala mom mentoru, doc.dr.sc. Marinu Golubu na pomoći i savjetovanju.
Zahvaljujem gospodinu Miroslavu Končaru za pokazivanje interesa i preporuku.
Najveću zahvalnost upućujem Hrvoju Šegudoviću, Saši Jušiću, Saši Iliću i Leonu Juraniću iz tvrtke Infigo IS.
Hvala vam na vašoj stručnoj pomoći, vodstvu i strpljenju.
Sažetak Moderne organizacije su suočene s brojnim sigurnosnim prijetnjama. Danas postoje različite preporuke i standardi koji daju smjernice za očuvanje informacijske sigurnosti. U ovom radu opisano je uspostavljanje sustava upravljanja sigurnošću informacija u skladu s preporukama normi ISO/IEC 17799 i ISO/IEC 27001. Abstract Modern organisations are faced with a numerous security threats. Today, there are different recommendations and standards that offer guidelines for protecting organization's information security. This paper describes the implementation of information security management system according to ISO/IEC 17799 and ISO/IEC 27001 standards.
Sadržaj
1 Uvod...............................................................................................................................1 2 Važnost upravljanja sigurnošću informacija ....................................................................2
2.1 Osnovni pojmovi.....................................................................................................2 2.2 Informacijska sigurnost ...........................................................................................2 2.3 Sigurnost informacijskih sustava .............................................................................3 2.4 Principi sigurnosti informacijskih sustava ...............................................................3 2.5 Sigurnosni zahtjevi..................................................................................................4
2.5.1 Povjerljivost ....................................................................................................4 2.5.2 Integritet..........................................................................................................5 2.5.3 Raspoloživost ..................................................................................................6
2.6 Sigurnosne prijetnje i ranjivosti...............................................................................7 2.6.1 Ranjivosti ........................................................................................................7 2.6.2 Prijetnje...........................................................................................................8
3 ISO/IEC 17799 .............................................................................................................11 3.1 Povijest norme ......................................................................................................11 3.2 Struktura norme ISO/IEC 17799 ...........................................................................12
3.2.1 Domene.........................................................................................................12 3.2.2 Glavne sigurnosne kategorije.........................................................................12
3.3 Glavni sigurnosni zahtjevi domena........................................................................13 3.3.1 Sigurnosna politika........................................................................................13 3.3.2 Organiziranje informacijske sigurnosti ..........................................................14 3.3.3 Upravljanje resursima....................................................................................14 3.3.4 Sigurnost i ljudski resursi ..............................................................................15 3.3.5 Fizička sigurnost ...........................................................................................15 3.3.6 Upravljanje komunikacijama i operacijama ...................................................16 3.3.7 Kontrola pristupa...........................................................................................17 3.3.8 Nabava, razvoj i održavanje informacijskog sustava ......................................19 3.3.9 Upravljanje incidentima informacijskog sustava ............................................20 3.3.10 Upravljanje poslovnim kontinuitetom..........................................................20 3.3.11 Usklađivanje .....................................................................................................20
4 ISO/IEC 27001 .............................................................................................................21 4.1 Informacijska tehnologija i ISO/IEC 27001...........................................................21 4.2 PDCA model upravljanja ......................................................................................22
4.2.1 Plan...............................................................................................................23 4.2.2 Do .................................................................................................................26 4.2.3 Check............................................................................................................28 4.2.4 Act ................................................................................................................30
4.3 Zahtjevi norme ISO/IEC 27001.............................................................................31 4.3.1 Uspostava ISMS-a.........................................................................................31 4.3.2 Implementacija i izvršavanje ISMS ...............................................................32 4.3.3 Nadzor i provjera ISMS.................................................................................32 4.3.4 Održavanje i poboljšavanje ISMS..................................................................33 4.3.5 Potrebna dokumentacija ................................................................................33
5 Upravljanje sigurnosnim rizicima .................................................................................35 5.1 Važnost upravljanja rizikom..................................................................................35 5.2 Integracija upravljanja rizikom u životni ciklus razvoja sustava.............................35
5.3 Procjena rizika prema NIST-ovim preporukama....................................................36 5.4 Metode za analizu rizika........................................................................................38
5.4.1 Metoda 1 - Matrica predefiniranih vrijednosti...............................................39 5.4.2 Metoda 2 - Rangiranje prijetnji prema procjeni rizika ...................................40 5.4.3 Metoda 3 - Procjena vjerojatnosti ostvarenja i mogućih posljedica................41 5.4.4 Metoda 4 – Odvajanje prihvatljivih i neprihvatljivih rizika ............................42
5.5 Alati za procjenu rizika .........................................................................................43 5.5.1 COBRA Risk Consultant...............................................................................43 5.5.2 CRAMM.......................................................................................................45 5.5.3 OCTAVE ......................................................................................................45
6 BS 7799-3:2006 Smjernice za upravljanje rizicima u informacijskoj sigurnosti.............46 6.1 Procjena rizika ......................................................................................................46
6.1.1 Identifikacija resursa .....................................................................................47 6.1.2 Identifikacija zakonskih i poslovnih zahtjeva.................................................47 6.1.3 Procjena vrijednosti resursa ...........................................................................48 6.1.4 Identifikacija prijetnji i ranjivosti .........................................................................49 6.1.5 Vrednovanje prijetnji i ranjivosti ..........................................................................49 6.1.6 Izračunavanje i evaluacija rizika....................................................................50
6.2 Obrada rizika i donošenje odluka ..........................................................................51 6.2.1 Donošenje odluka..........................................................................................51 6.2.2 Umanjivanje rizika ........................................................................................52 6.2.3 Svjesno i objektivno prihvaćanje rizika..........................................................52 6.2.4 Prenošenje rizika ...........................................................................................52 6.2.5 Izbjegavanje rizika ........................................................................................52 6.2.6 Rezidualni rizik .............................................................................................53
7 Sustav upravljanja sigurnošću informacija ....................................................................54 7.1. Proučavanje poslovnog procesa............................................................................55 7.2 Uspostava sustava upravljanja sigurnošću informacija ................................................55
7.2.1 Definiranje opsega ISMS-a............................................................................55 7.2.2 Definiranje sigurnosne politike......................................................................56 7.2.3 Definiranje metodologije za upravljanje rizikom ...........................................57 7.2.4 Procjena rizika...............................................................................................58 7.2.5 Izjava o primjenjivosti ...................................................................................60
8 Zaključak......................................................................................................................62 9 Literatura ......................................................................................................................63
Dodatak A ....................................................................................................................65 Dodatak B.....................................................................................................................69 Dodatak C.....................................................................................................................70 Dodatak D ....................................................................................................................71 Dodatak E.....................................................................................................................74 Dodatak F .....................................................................................................................84
1
1 Uvod Informacijska sigurnost postaje sve važnija u modernom društvu. Moderni državni i gospodarski subjekti sve više ovise o računalnoj i komunikacijskoj infrastrukturi. To omogućuje protok velike količine informacija među subjektima, ali ujedno izlaže informacije i njima pripadne informacijske sustave brojnim prijetnjama. Pojam informacijske sigurnosti se ne odnosi isključivo na tehničke mjere zaštite (korisnička imena, zaporke, enkripciju, prava pristupa i sl.), već podrazumijeva administrativne (sigurnosne politike, pravilnici, procedure) i fizičke (video nadzor, zaštita prostorija, fizička kontrola pristupa itd.) mjere. Kako bi informacijski sustav bio zaštićen na pravi način potrebno je uspješno uskladiti, implementirati i nadzirati sve potrebne mjere zaštite. Danas je u velikoj mjeri prepoznata potreba za uspješnim upravljanjem sigurnošću informacija, te se razvijaju brojni standardi koji daju preporuke za uspostavljanje sustava upravljanja sigurnošću informacija. Na međunarodnom nivou sve prihvaćenija je norma ISO/IEC 27001 koja daje preporuke za uspješnu implementaciju efikasnog sustava upravljanja. Razlog prihvaćenosti ovog standarda jest što osigurava fleksibilnost, definira upravljački okvir, a ne zadire u konkretnu tehničku implementaciju, što ga čini primjenjivim u različitim organizacijama. Norma ISO/IEC 17799 sadrži popis sigurnosnih kontrola i predstavlja općenit i opsežan kodeks postupaka za upravljanje sigurnošću informacija. U ovom radu opisan je postupak uspostave sustava upravljanja sigurnošću informacija u skladu s preporukama normi ISO/IEC 27001 i ISO/IEC 17799. Također, opisani su postupci analize sigurnosnog rizika kao glavnog preduvjeta uspješnom upravljanu sigurnošću informacija. Posebna pozornost na području analize rizika je posvećena standardu BS 7799-3 koji skupa s normama ISO/IEC 27001 i ISO/IEC 17799 čini cjelovit sustav za upravljanje sigurnošću informacija.
2
2 Važnost upravljanja sigurnošću informacija
2.1 Osnovni pojmovi Podatak je skup prepoznatljivih znakova zapisanih na određenom mediju. Informacija je podatak s određenim značenjem, odnosno saznanje koje se može prenijeti u bilo kojem obliku (pisanom, audio, vizualnom, elektronskom ili nekom drugom). Računalni sustav je skup koji se sastoji od sklopovske opreme, programske opreme (operacijski sustav, aplikacijski programi i sl.) i podataka. Informacijski sustav je svaki sustav kojim se prikupljaju, pohranjuju, čuvaju, obrađuju, prikazuju, dohvaćaju i isporučuju informacije tako da budu dostupne i upotrebljive za svakoga tko ima pravo njima se koristiti. Zaštita je skup mjera za očuvanje sigurnosti. Odgovornost je ponašanje po zadanom skupu pravila.
2.2 Informacijska sigurnost Informacija je imovina i kao takvu ju je potrebno prikladno zaštititi, kako bi se omogućilo normalno poslovanje organizacije. Taj zahtjev postaje sve važniji zbog distribuiranosti poslovne okoline, jer su u takvom okruženju informacije izložene većem broju prijetnji i ranjivosti. Bez obzira u kojem je obliku pohranjena informacija, ona uvijek mora biti prikladno zaštićena. Pod pojmom informacijske sigurnosti podrazumijeva se zaštita informacija od velikog broja prijetnji, kako bi se osigurao poslovni kontinuitet, smanjio rizik, te povećao broj poslovnih prilika i povrat od investicija. Informacijska sigurnost se postiže primjenom odgovarajućih kontrola, koje se odnose na sigurnosnu politiku, procese, procedure, strukturu organizacije i funkcije sklopovske i programske opreme. Navedene kontrole je potrebno osmisliti, implementirati, nadzirati, pregledavati i poboljšavati kako bi se osiguralo ispunjenje poslovnih i sigurnosnih zahtjeva organizacije. Definiranje, implementacija, održavanje i poboljšavanje informacijske sigurnosti može biti od presudne važnosti kako bi se ostvarila i zadržala konkurentnost, osigurao dotok novca i profitabilnost, kako bi se zadovoljile zakonske norme i osigurao poslovni ugled. Organizacije se suočavaju s brojnim sigurnosnim prijetnjama poput računalnih prijevara, špijunaže, sabotaže, vandalizma, požara, poplave i sl. Šteta nanesena organizaciji u obliku zloćudnog koda, računalnog hakiranja i uskraćivanja usluge je sve prisutnija pojava. Informacijska sigurnost je jednako važna javnim i privatnim organizacijama. Povezanost javnih i privatnih računalnih mreža i dijeljenje informacija otežavaju kontrolu pristupa informacijama. U takvim uvjetima oblici centralizirane kontrole nisu učinkoviti. Upravljanje informacijskom sigurnošću zahtjeva sudjelovanje svih zaposlenika organizacije, a često je potrebna pomoć konzultanta izvan granica organizacije.
3
2.3 Sigurnost informacijskih sustava Sigurnost informacijskih sustava obuhvaća primjenu mjera za zaštitu podataka koji su u obradi, ili su pohranjeni, ili je u tijeku njihov prijenos, od gubitka povjerljivosti, cjelovitosti i raspoloživosti, te radi sprječavanja gubitaka cjelovitosti ili raspoloživosti samih sustava. Sigurnosne mjere uključuju mehanizme i procedure koje trebaju biti implementirane u svrhu odvraćanja, prevencije, detektiranja i oporavka od utjecaja incidenata koji djeluju na povjerljivost, cjelovitost i raspoloživost podataka i pratećih sustavskih servisa i resursa, uključujući i izvještavanje o sigurnosnim incidentima. Sigurnost informacijskih sustava je dinamičan proces tijekom cijelog životnog ciklusa sustava te se on treba razmatrati od faze njegovog planiranja, razvoja, provedbe, operativnosti, rasta do rashodovanja i uništavanja prema potrebi. To je zapravo proces upravljanja rizikom koji se koristi za procjenu, nadgledanje, ukidanje, izbjegavanje, prijenos ili prihvaćanje rizika. Općenito se može reći da sigurnost informacijskih sustava obuhvaća sve što i informacijska sigurnost u širem smislu, samo primijenjeno u užim tehnološkim okvirima.
2.4 Principi sigurnosti informacijskih sustava Organizacija za ekonomsku suradnju i razvoj (engl. The Organisation for Economic Cooperation and Development - OEDC ) je ustanovila 9 principa sigurnosti informacijskih sustava:
• Svijest o informacijskoj sigurnosti
Važno je biti svjestan potrebe za sigurnošću informacijskih sustava i zaštitnim sigurnosnim mjerama.
• Odgovornost
Svi članovi organizacije su odgovorni za sigurnost informacijskih sustava.
• Odziv
Svi članovi organizacije trebaju pravovremeno i kooperativno sudjelovati u spriječavanju, detekciji i rješavanju sigurnosnih incidenata.
• Etika
Svi članovi organizacije trebaju postupati respektivno prema legitimnim interesima ostalih.
• Demokracija
Sigurnost informacijskih sustava treba biti u skladu s pravilima demokratskog društva.
• Procjena rizika
Potrebno je provoditi procjene rizika.
• Dizajn i implementacija sigurnosnih mjera
Sigurnosne kontrole trebaju biti sastavni dio informacijskih sustava.
4
• Upravljanje sigurnošću
Organizacija treba uspostaviti jasan pristup upravljanju sigurnošću.
• Promjene
Organizacija treba redovito nazdirati sustav informacijske sigurnosti i izvoditi potrebno modifikacije sigurnosnih politika, mjera, procedura i sl.
2.5 Sigurnosni zahtjevi 2.5.1 Povjerljivost Povjerljivost je osiguranje da je informacija dostupna samo onima koji imaju ovlašteni pristup istoj. Procedure za održavanje povjerljivosti trebaju biti pažljivo implementirane. Ključni aspekti povjerljivosti su korisnička identifikacija i autentifikacija. Uspjela identifikacija je nužna kako bi se osigurala učinkovitost politika koje specificiraju koji korisnici imaju pravo pristupa pojedinim podacima. Povjerljivost može biti narušena na više načina. Najčešće prijetnje povjerljivosti su:
• Hakiranje Haker je netko tko preuzima kontrolu nad sustavom iskorištavajući sigurnosne slabosti koje postoje u sustavu. • Maskiranje Maskiranje je proces kojim ovlašteni korisnik pristupa sustavu, ali pomoću lozinki drugih korisnika. Na taj način pristupa datotekama kojima inače nema pristup. Maskiranje je česta pojava u organizacijama gdje više korisnika dijeli istu lozinku. • Neovlaštena korisnička aktivnost Ovaj tip aktivnosti se pojavljuje kad autorizirani korisnik dobije pristup datotekama kojima nema pravo pristupa. Slabe kontrole pristupa često omogućuju pristup neautoriziranim korisnicima koji mogu kompromitirati povjerljive podatke. • Nezaštićeno preuzimanje (engl. download) datoteka Preuzimanje datoteka može kompromitirati povjerljive informacije, ako tijekom procesa preuzimanja datoteke budu prenešene iz sigurnog okruženja u nesigurno okruženje, u kojem povjerljivim datotekama mogu pristupiti neovlašteni korisnici. • Lokalne mreže (engl. Local Area Networks) Lokalne mreže predstavljaju posebnu prijetnju povjerljivosti informacija jer podaci koji putuju mrežom mogu biti kompromitirani u svakom čvoru mreže. • Trojanski konji Trojanski konji mogu kopirati povjerljive datoteke u neovlaštena područja sustava, ukoliko korisnik koji ima pravo pristupa tim datotekama, ne znajući, izvrši takav program.
5
Modeli povjerljivosti opisuju akcije koje je potrebno poduzeti da bi se osigurala povjerljivost informacija. Najčešće korišten model povjerljivosti je Bell-LaPadula model koji definira odnose između objekata (npr. datoteke, programi, informacijski sustavi) i subjekata (npr. ljudi, procesi). Veze između subjekata i objekata opisane su razinama pristupa subjekata objektima koji imaju svoju razinu osjetljivosti. Model kontrole pristupa koji sustav dijeli na objekte, subjekte i operacije je isto često korišten model povjerljivosti. Model ima definirana pravila koja opisuju koje operacije nad objektima mogu izvoditi pojedini subjekti. 2.5.2 Integritet Integritet - zaštita postojanja, točnosti i kompletnosti informacije kao i procesnih metoda. Potrebno je osigurati da podaci kojima pristupaju autorizirani korisnici budu cjeloviti. Sigurnosne mjere ne mogu osigurati točnost podataka koje korisnici smještaju u sustav, ali mogu pomoći osigurati da se promjene nad podacima izvode na ispravan način. Dodatni zahtjev je osigurati zaštitu procesa i programa kojima se obavlja manipulacija podacima od neovlaštene modifikacije. Imperativ je osigurati da nijedan korisnik ne može izvesti modifikaciju podataka koja može uzrokovati oštećenje ili gubitak imovine. Kao i kod povjerljivosti, identifikacija i autentifikacija korisnika su ključni elementi politike očuvanja integriteta. Integritet se također može kompromitirati hakiranjem, maskiranjem, neautoriziranom korisničkom aktivnošću, nezaštićenim preuzimanjem datoteka, lokalnim mrežama, trojanskim konjima, virusima i sl. Tri su temeljna principa uspostave kontrola integriteta:
• Dodjela samo nužnih prava pristupa (engl. need-to-know basis) Korisnicima treba dodijeliti pravo pristupa samo na one datoteke i programe koji su im potrebni da bi obavljali svoju poslovnu funkciju u organizaciji. Pristup produkcijskim podacima i izvornom kodu treba dodatno ograničiti dobro definiranim transakcijama koje osiguravaju da korisnici mogu modificirati podatke na strogo kontroliran način kako bi se zaštitio integritet. Budući se od korisnika očekuje da efikasno obavljaju svoj posao, pristupne privilegije trebaju biti razumno dodjeljene kako bi se korisnicima omogućila fleksibilnost u radu. Sigurnosne mjere moraju uravnotežiti sigurnosne zahtjeve sa praktičnom produktivnošću. • Odvajanje dužnosti (engl. separation of duties) Dobro je osigurati da nijedan zaposlenik nema kontrolu nad transakcijom od početka do kraja. Dvoje ili više ljudi trebaju biti odgovorni za izvođenje transakcije, npr. netko tko ima privilegiju kreiranja transakcije ne bi smio imati privilegiju za njezino izvođenje. • Rotacija dužnosti (engl. rotation of duties). Poslovni zadaci bi se trebali mijenjati periodički tako da korisnicima bude otežano zlonamjerno preuzimanje kontrole nad transakcijom. Ovaj princip je učinkovit kad se koristi u kombinacji s odvajanjem dužnosti. Međutim, organizacije koje imaju manjak zaposlenika ili slabije osposobljene zaposlenike, teško provode rotaciju dužnosti.
Modeli integriteta opisuju načine ostvarivanja politike integriteta. Tri su cilja integriteta, koje različiti modeli postižu na različite načine:
6
• spriječavanje neovlaštenih korisnika da modificiraju podatke ili programe,
• spriječavanje ovlaštenih korisnika da modificiraju podatke ili programe na nepropisan i neovlašten način,
• održavanje unutarnje i vanjske konzistentnosti podataka i programa. Neki od modela integriteta su:
• Biba,
• Goguen-Meseguer,
• Sutherland,
• Clark-Wilson,
• Brewer-Nash. 2.5.3 Raspoloživost Raspoloživost – osiguranje da autorizirani korisnici imaju mogućnost pristupa informaciji i pripadajućim sredstvima kada se usluga zahtijeva. Dva su najvažnija aspekta raspoloživosti:
• Uskraćivanje usluge (engl. Denial of service) Radi se o vrsti napada u kojem se obično namjernim generiranjem velike količine mrežnog prometa nastoji zagušiti mrežna oprema i poslužitelji. Isti postaju toliko opterećeni da više nisu u stanju procesirati legitimni promet što na kraju ima za posljedicu da legitimni korisnici ne mogu koristiti mrežne usluge poput maila weba i sl. Distribuirano uskraćivanje usluge (engl. Distributed Denial of Service) je oblik napada uskraćivanjem usluga u kojem su izvori zagušujućeg mrežnog prometa distribuirani na više mjesta po Internetu. Najčešće se radi o računalima na koja je prethodno provaljeno kako bi ih se iskoristilo za napad na druge mreže ili računala na Internetu.
• Gubitak sposobnosti procesiranja podataka kao rezultat prirodnih katastrofa (npr. poplave, potresi, požari) ili ljudskih akcija (teroristički napadi, štrajkovi)
Ovakvi gubici se prate planiranjem nepredviđenih situacija (engl. contingency planning) što pomaže minimizirati vrijeme nedostupnosti sredstava za procesiranje podataka. Planiranje nepredviđenih situacija, koje može uključivati planiranje oporavka od katastrofe (engl. disaster recovery planning), planiranje obnove poslovnih procesa (engl. business resumption planning) i sl., pruža alternativne načine procesiranja podataka odnosno osiguranje raspoloživosti.
Fizički, tehnički i administrativni aspekti važni su pri osiguravanju raspoloživosti. Fizički aspekti uključuju spriječavanje neovlaštenog osoblja od pristupa sredstvima za procesiranje podataka, različite zaštitne mehanizme za obranu od požara i poplave i sl. Tehnički aspekti se odnose na mehanizme otporne na pogreške (engl. fault-tolerance mechanisms), npr. zrcaljenje diskova (engl. disk mirroring) i redudantnost sklopovlja, programe za kontrolu pristupa i dr. Administrativni aspekti uključuju politiku kontrole pristupa, operativne procedure, planiranje nepredviđenih situacija i obrazovanje korisnika. Adekvatan trening operatera, programera i
7
sigurnosnog osoblja može utjecati na smanjenje broja situacija u kojima dolazi do gubitka raspoloživosti.
2.6 Sigurnosne prijetnje i ranjivosti 2.6.1 Ranjivosti Ranjivost (engl. vulnerability) – nedostatak ili slabost u sigurnosnim procedurama sustava, dizajnu, implementaciji ili unutarnjim kontrolama koja se može izvršiti (slučajno aktivirati ili namjerno eksploatirati) i rezultirati povredom sigurnosti ili narušavanjem sigurnosne politike. Podaci o tehničkim i netehničkim ranjivostima sustava se mogu prikupljati na različite načine:
• Anketa
Sigurnosni stručnjaci mogu sastaviti anketu koju je potrebno podijeliti odgovarajućim zaposlenicima (zaduženima za tehničke i netehničke komponente sustava koji se ispituje).
• Intervju
Intervjuiranje odgovarajućih zaposlenika unutar prostorija organizacije pomaže prikupljanju informacija o fizičkoj i operativnoj sigurnosti IT sustava.
• Pregled dokumenata
Pregledavanje sigurnosnih politika, sustavske dokumentacije (npr. sustavski priručnici, vodiči za korisnike, akvizicijski dopkumenti) i ostalh dokumenta koji se odnose na sigurnost može pružiti uvid u sigurnosne kontrole i pomoći pri identifikaciji ranjivosti.
• Uporaba alata za skeniranje sustava
Proaktivne tehničke metode daju kvalitetnu sliku o sustavu i vrlo su efikasne u prikupljanu podatka o ranjivostima sustava. Najčešće korištene metode su penetracijska testiranja (engl. penetration testing), ST&E (engl. Security Test & Evaluation) i automatizirani alati za skeniranje ranjivosti.
Redovito pregledavanje Internet stranica na kojima se objavljuju detektirane ranjivosti, zakrpe (engl. patch), servisni paketi (engl. service packs) i sl. daje uvid u aktualne ranjivosti. Potrebno je spomenuti da tipovi ranjivosti koje se mogu pojaviti i metodologija utvrđivanja prisustva ranjivosti ovisi o fazi životnog ciklusa razvoja sustva (engl. System Development Life Cycle):
• Ukoliko IT sustav još nije dizajniran potraga za ranjivostima se treba fokusirati na organizacijske sigurnosne politike, planirane sigurnosne procedure i sigurnosne zahtjeve sustava.
• Ako se IT sustav implementira identifikacija ranjivosti se treba usredotočiti na specifične informacije o sustavu, poput planiranih sigurnosnih kontrola opisanih u dokumentaciji sustava.
• Ako je IT sustav u svojoj operativnoj fazi, proces identifikacije ranjivosti mora uključiti analizu sigurnosnih zaštitnih mjera (tehničkih i proceduralnih).
8
2.6.2 Prijetnje Prijetnja (engl. threat) - mogućnost izvora prijetnje da iskoristi neku ranjivost (slučajnim aktiviranjem ili namjernom eksploatacijom). Izvor prijetnje (engl. threat-source) – namjera i metoda usmjerena eksploataciji ranjivosti ili situacija i metoda koja slučajno može aktivirati neku ranjivost. Izvor prijetnje ne predstavlja nikakvu opasnost ukoliko nema ranjivosti koja se može iskoristiti. Da bi se utvrdila vjerojatnost neke prijetnje mora se uzeti u obzir izvor prijetnje, potencijalne ranjivosti i postojeće kontrole. Izvori prijetnji mogu biti prirodni, ljudski ili oni koje potječu iz okoline. Prijetnje se mogu svrstati u:
• maliciozne,
• nenamjerne ili
• fizičke.
Maliciozne prijetnje se mogu svrstati u nekoliko kategorija:
• maliciozni programi (engl. malicious software),
• zavaravanje (engl. spoofing),
• skeniranje (engl. scanning),
• prisluškivanje (engl. snooping, eavesdropping),
• čišćenje (engl. scavenging),
• neželjena pošta (engl. spamming),
• tuneliranje (engl. tunneling).
Maliciozni programi su:
• Virus (engl. virus)
Virusi su maliciozni programi koji se dodaju na druge programe. Repliciraju se unutar sustava i dodaju se na različite programe. Mogu dobiti kontrolu zamjenom originalnog programa na disku s virusom ili promjenom pokazivača tako da se locira virus umjesto odgovarajućeg programa. Kvaliteta virusa ovisi o težini detekcije, području širenja, lakoći kreiranja, mogućnosti reinfekcije i sl.
• Crvi (engl. worms)
Crvi su maliciozni programi u obliku samostalnih aplikacija. Često su dizajnirani tako da se propagiraju mrežom. Čak i kada crv sam po sebi nema zlonamjernog koda, što je ponekad bio slučaj, količina mrežnog prometa koji stvara šireći se može usporiti ili čak onemogućiti normalan rad na Internetu ili lokalnoj mreži. Većina današnjih crva dolazi putem elektroničke pošte ili mrežnih servisa. Mrežni su opasniji jer u pravilu ne zahtijevaju interakciju s korisnikom, već samostalno preuzimaju kontrolu nad računalom i nastavljaju širenje. Od njih se efikasno može obraniti vatrozidom (engl. firewall).
• Trojanski konj (engl. Trojan horse)
9
• Vremenska bomba (engl. time bomb)
Vremenska bomba je virus ili crv koji je programiran tako da se aktivira u određeno vrijeme.
• Logička bomba (engl. logic bomb)
Logička bomba je virus ili crv programiran tako da se aktivira pod određenim uvjetima.
• Zec (engl. rabbit)
To je crv programiran da se replicira dok se ne iscrpe računalni resursi. Zec troši procesorske cikluse, prostor na disku ili mrežne resurse.
• Bakterija (engl. bacterium)
Bakterija je virus koji se dodaje na operacijski sustav (a ne na aplikacije) i crpi računalne resurse, pogotovo procesorske cikluse.
Zavaravanje (engl. spoofing) može biti:
• Maskiranje (engl. masquerade)
• Zavaravanje (engl. spoofing)
Jedan čvor u mreži preuzima identitet drugog (najčešće računala sa specijalnim privilegijama), kako bi dobio pristup drugima računalima u mreži. Zavaravanjem se često ne može pristupiti naredbama na korisničkoj razini, pa se upotrebljavaju automatizirani servisi.
Dva su oblika skeniranja:
• Sekvencijalno skeniranje (engl. sequential scanning)
Sekvencijalno testiranje lozinki ili drugih autentifikacijskih kodova dok se ne otkrije pravi.
• Skeniranje rječnika (engl. dictionary scanning)
Koristi se rječnik ili najčešće upotrebljavane lozinke (autentifikacijski kodovi) dok se ne pronađe odgovarajuća.
Prisluškivanje može biti:
• Elektoničko (engl. digital snooping)
Elektroničkim praćenjem računalnih mreža nastoje se otkriti lozinke ili drugi povjerljivi podaci.
• "Preko ramena" (engl. shoulder surfing)
Direktno vizualno pregledavanje monitora kako bi se dobili povjerljivi podaci.
Čišćenje (engl. scavenging) uključuje:
• Pretraživanje odbačenih stvari (engl. dumpster diving)
Pretražuju se odbačena sredstva kako bi se dobile lozinke ili drugi povjerljivi podaci.
10
• Pregledavanje (engl. browsing)
Automatsko skeniranje velike količine nezaštićenih podataka (odbačenih medija i sl.) kako bi se otkrili neki tragovi koji mogu pomoći u ostvarivanju neovlaštenog pristupa.
Neželjena pošta (engl. spamming) ili neki drugi tip prometa može preopteretiti sustav do te mjere da ne može obavljati svoju funkciju. Tuneliranje je svaki digitalni napad kojim se pokušava zaobići sigurnosni sustav pristupanjem sustavskim funkcijama vrlo niske razine (npr. pogonskim programima (engl. device drivers) ili funkcijama jezgre operacijskog sustava). Nenamjerne prijetnje se dijele na:
• kvarove (engl. malfunctions) i
• ljudske pogreške. Kvarovi se mogu dogoditi na sklopovskoj ili programskoj opremi. Ljudske pogreške mogu uzrokovati programeri nenamjernim ostavljenjem pozadinskih vrata (engl. Trap Door, Back door) ili korisnici nepažljivim izmjenama, manipulacijom ili uništavanjem programa, podataka ili sklopovske opreme.
11
3 ISO/IEC 17799 Kao što je već rečeno, koncept informacijske sigurnosti ne odnosi se isključivo na tehničke mjere zaštite, već podrazumijeva administrativne i fizičke mjere. Obzirom da je za adekvatnu zaštitu informacijskog sustava gotovo neizostavno potrebna kombinacija svih tih mjera, pogotovo kada je riječ o većim organizacijama, efikasna implementacija i nadzor svih potrebnih mjera zaštite i sigurnosnih kontrola zahtjeva dobro definiran sustav za upravljanje sigurnošću. U cilju kompletne zaštite informacijskih sustava definirani su različiti standardi koji na različite načine nastoje obuhvatiti kompletni sustav za upravljanje sigurnošću, ili neke njegove aspekte. Među tim standardima, na međunarodnom planu sve više i više se prihvaća ISO/IEC 17799. Razlog prihvaćenosti ovog standarda je taj što osigurava fleksibilnost, definira upravljački okvir, a ne zadire u konkretnu tehničku implementaciju, što ga čini primjenjivim u organizacijama različitih tehničkih sustava, iz različitih sektora te različitih veličina.
3.1 Povijest norme ISO (engl. International Organization for Standardization) i IEC (engl. International Electrotechnical Commission) zajedno čine sustav za međunarodnu standardizaciju. Mnoge međunarodne organizacije, vladine i ne-vladine udruge surađuju s ISO i IEC organizacijama. Na polju informacijske tehnologije, ISO i IEC su osnovali zajednički tehnički odbor (engl. Joint Technical Committee), ISO/IEC JTC 1. Glavni zadatak zajedničkog tehničkog odbora je priprema međunarodnih standarda. Pripremljeni standardi se šalju na izglasavanje nacionalnim tijelima koji brinu o usvajanju međunarodnih standarda. Usvajanje standarda zahtjeva 75 % glasova. Normu ISO/IEC 17799 je pripremio pododbor za informacijsku tehnologiju, zajedničkog tehničkog odbora, ISO/IEC JTC, Information technology, Subcommittee SC 27, IT Security techniques. Počeci ovog standarda sežu u 90-e godine prošlog stoljeća. Tada je Department of Trade and Industry (Velika Britanija) osnovao radnu skupinu koja se sastojala od menadžera koji su se bavili informacijskom sigurnošću. Nastao je "Kodeks postupaka za upravljanje informacijskom sigurnošću" (engl. Information Security Management Code of Practice). U rujnu 1992. taj kodeks je objavljen pod nazivom "Industry Code of Practice" i čini osnovu za British Standard 7799. BS 7799 je objavljen 1995. godine. Već 1998. je objavljena shema za dobivanje certifikata. 1999. godine standard je pregledan i nadopunjen novim kontrolama, te je objavljeno drugo izdanje (BS 7799-1:1999). Zbog velikog međunarodnog interesa BDD/2 je predložio ISO organizaciji BS 7799-1 kao međunarodi standard. U kolovozu 2000. ovaj standard je prihvaćen, a u prosincu iste godine i objavljen kao kao ISO/IEC 17799:2000. Godine 2005. standardu su dodane nove kontrole, revidiran je i nadopunjen dodatnim materijalom, te je objavljen ISO 17799:2005. Cilj ove norme je dati preporuke glede sigurnosnog upravljanja informacijama onima koji su zaduženi za pokretanje, provedbu ili održavanje sigurnosti u svojim organizacijama. Namjera je osigurati zajedničku osnovu za razvoj standarda sigurnosti i djelotvorne prakse upravljanja sigurnošću informacija te osiguranje povjerenja u poslovanje unutar organizacije. Usklađivanje organizacije s ovim standardom osigurava postizanje povjerljivosti (informacije
12
dostupne samo autoriziranim korisnicima), integriteta (točnost i cjelovitost informacija i pripadnih metoda) i raspoloživosti (autorizirani korisnici mogu pristupiti informacijama i pripadnim sredstvima uvijek kad se to zahtjeva).
3.2 Struktura norme ISO/IEC 17799 Ova međunarodna norma pokriva sve vrste organizacija (npr. gospodarskih organizacija, državnih ustanova, neprofitnih organizacija). Zahtjevi uspostavljeni u ovom standardu su generički, te je predviđeno da budu primjenjivi u svim organizacijama, bez obzira na njihovu vrstu, veličinu i prirodu. Isključivanje kontrola koje se smatraju obveznim za zadovoljavanje kriterija za prihvat rizika mora biti opravdano te moraju biti pruženi dokazi da su vezani rizici prihvaćeni od strane odgovornih osoba. ISO/IEC 17799 sadrži 11 domena sigurnosnih kontrola, koje skupa sadrže 39 osnovnih sigurnosnih kategorija i jednu uvodnu domenu koja nas upoznaje s procjenom rizika. 3.2.1 Domene Svaka domena sadrži određeni broj glavnih sigurnosnih kategorija. Domene (skupa s brojem glavnih sigurnosnih kategorija, navedenih u zagradi) su: 1) Sigurnosna politika (1);
2) Organiziranje informacijske sigurnosti (2);
3) Upravljanje resursima (2);
4) Sigurnost i ljudski resursi (3);
5) Fizička sigurnost (2);
6) Upravljanje komunikacijama i operacijama (10);
7) Kontrola pristupa (7);
8) Nabava, razvoj i održavanje informacijskog sustava (6);
9) Upravljanje incidentima informacijskog sustava (2);
10) Upravljanje poslovnim kontinuitetom (1);
11) Usklađivanje (3). 3.2.2 Glavne sigurnosne kategorije Svaka glavna sigurnosna kategorija sadrži: a) kontrolni cilj koji je potrebno ostvariti ; i
b) jednu ili više kontrola koje se mogu primijeniti da bi se ostvario kontrolni cilj.
Opisi kontrola su strukturirani na sljedeći način:
13
Kontrola Definira određenu kontrolu koja treba zadovoljiti kontrolni cilj. Implementacijske smjernice Pruža detaljnije informacije za implementiranje kontrole. Neki od koraka pri implementaciji nisu primjenjivi za neke slučajeve, pa je tada potrebno na neki prikladniji način implementirati kontrolu. Dodatne informacije Pruža dodatne informacije koje je potrebno razmotriti pri uvođenju neke kontrole, npr. legalne aspekte kontrole i reference na neke druge standarde. Ovaj kodeks postupaka treba biti početna točka razvoja informacijske sigurnosti specifične za svaku pojedinu organizaciju. Sve kontrole i smjernice ne mogu se primjeniti na svaku organizaciju. Ponekad je potrebno uključiti kontrole i smjernice koje nisu dio ove norme ukoliko to zahtjeva poslovanje organizacije. Kad se razviju dokumenti s dodatnim smjernicama i kontrolama, preporuča se uključiti reference na kontrole iz ovog standarda kako bi se olakšalo pregledavanje usklađenosti sa standardom.
3.3 Glavni sigurnosni zahtjevi domena 3.3.1 Sigurnosna politika U ovoj domeni se definira sigurnosna politika, te se naglašava važnost postojanja dokumenta sigurnosne politike. Sigurnosna politika može biti dio opće politike organizacije, a ne mora nužno predstavljati poseban dokument. Cilj sigurnosne politike je dati smjernice za upravljanje informacijskom sigurnošću u skladu s poslovnim zahtjevima organizacije i relevantnim zakonima i propisima. Uprava treba definirati jasnu sigurnosnu politiku koja je usklađena s ciljevima organizacije i koja pruža potporu informacijskoj sigurnosti na svim razinama organizacije. Dokument sigurnosne politike treba sadržavati:
a) definiciju informacijske sigurnosti, njezine glavne ciljeve i opseg te važnost sigurnosti kao mehanizma koji omogućuje dijeljenje informacija;
b) izjavu o namjerama uprave koje će podupirati ciljeve informacijske sigurnosti u skladu s poslovnom strategijom;
c) okvir za uvođenje kontrola, kao i strukturu procjene rizika i upravljanja rizikom;
d) objašnjenje sigurnosne politike, principe, standarde i zahtjeve od posebnog interesa koje organizacija treba usvojiti, a to su:
1) zakonski, pravni i ugovorni zahtjevi;
2) edukacija o sigurnosti, svijest o sigurnosti i sigurnosni trening;
3) upravljanje kontinuitetom poslovanja;
4) posljedice narušavanja sigurnosne politike;
14
e) definiciju odgovornosti u procesu upravljanja sigurnošću, uključujući i prijavu sigurnosnih incidenata;
f) referencu na dokumente koji podupiru sigurnosnu politiku. Sigurnosnu politiku je nužno provjeravati u unaprijed određenim intervalima, kako bi se osiguralo da sve relevantne promjene budu registrirane i uključene u sigurnosnu politiku. 3.3.2 Organiziranje informacijske sigurnosti Ova domena sadrži dva kontrolna cilja: 1) unutarnja organizacija; i
2) vanjski suradnici. Kontrolni cilj koji se odnosi na unutarnju organizaciju opisuje upravljanje sigurnošću unutar organizacije. Od uprave se očekuje da odobri sigurnosnu politiku, dodijeli sigurnosne uloge i koordinira implementaciju sigurnosnih mehanizama unutar organizacije. Često je korisno surađivati sa specijalistima na području računalne sigurnosti izvan organizacije i poticati multidisciplinarni pristup računalnoj sigurnosti. Organizacija treba zatražiti nezavisno ispitivanje sustava upravljanja sigurnošću informacija. Za sve zaposlenike organizacije potrebno je utemeljiti odgovarajuće odgovornosti, te inicirati potpisivanje sporazuma o povjerljivosti kako bi se zaštitile kritične informacije. Potrebno je omogućiti koordinaciju predstavnika različitih dijelova organizacije u cilju boljeg funkcioniranja sustava upravljanja sigurnošću informacija. Kod suradnje s vanjskim strankama zahtjeva se identifikacija rizika kojeg donosi takva suradnja i usvajanje prakse i procedura za smanjenje vjerojatnosti pojave sigurnosnih incidenata. Nadalje, potrebno je zaštititi sve resurse kojima pristupaju korisnici neke od usluga organizacije. Potrebno je definirati jasne sporazume prilikom suradnje s trećom stranom. Takvi sporazumi trebaju uključivati odgovornost treće strane, zaštitu resursa kojima pristupa treća strana, prikladan proces prijave incidenata, ukoliko do njih dođe i sl. 3.3.3 Upravljanje resursima Ključni zahtjevi ove sigurnosne domene su 1) dodjela odgovornosti za resurse; i
2) ispravna klasifikacija informacija. Nakon što se napravi inventura resursa zahtjeva se dodjela vlasništva nad pojedinim resursom. Vlasnik resursa postaje odgovoran za razvoj, održavanje i uporabu resursa na prikladan način. Vlasništvo se može dodjeliti nad procesom, skupom aktivnosti, aplikacijom ili skupom podataka. Za svaki resurs je dobro definirati prikladan način uporabe. Svi zaposlenici, vanjski suradnici i treće strane trebaju poštivati određeni način uporabe resursa. Kako bi se informacija mogla zaštititi na odgovarajući način, potrebno je provesti odgovarajuću klasifikaciju informacija. Informacije se trebaju klasificirati na temelju njihove vrijednosti,
15
zakonskih i ugovornih zahtjeva, osjetljivosti i kritičnosti za organizaciju ili neki proces. Nakon što su klasificirane informacije se trebaju označiti u skladu s klasifikacijom. Također, dobro je izraditi procedure koje definiraju način na koji će se pojedina skupina informacija pohranjivati, prenositi, koristiti i uništavati. 3.3.4 Sigurnost i ljudski resursi Potrebno je utemeljiti sigurnosne zahtjeve za periode: 1) prije zaposlenja;
2) tijekom zaposlenja; i
3) nakon zaposlenja. Uloge i odgovornosti zaposlenika je potrebno definirati i dokumentirati u skladu sa sigurnosnom politikom. Prije primanja zaposlenika potrebno im je predstaviti uloge i odgovornosti koje podrazumjeva njihovo radno mjesto. Predlaže se napraviti provjere identiteta zaposlenika, kvalifikacija i referenci navedenih u životopisu. Potrebno je osigurati potpisivanje ugovora u kojem zaposlenik prihvaća uvjete zaposlenja. Tijekom zaposlenja dobro je zaposlenicima pružiti edukaciju u pogledu informacijske sigurnosti i to u cilju podizanja razine svijesti o informacijskoj sigurnosti. Organizacija treba utemeljiti disciplinski proces za sankcioniranje svih sigurnosnih prekršaja, te sve zaposlenike informirati o postojanju istog. Nakon promjene radnog mjesta, odnosno premještaja unutar organizacije, ili otpusta s radnog mjesta potrebno je osigurati da zaposlenik vrati sve resurse koje je posjedovao tijekom zaposlenja. Pristupna prava se trebaju uskladiti s novim radnim mjestom ili ukinuti ukoliko se radi o prekidu zaposlenja. 3.3.5 Fizička sigurnost U ovoj domeni se uvodi pojam sigurnosnog opsega. Zadaća sigurnosnog opsega je fizički osigurati prostor s osjetljivim resursima. Sigurnosni opseg se postiže različitim barijerama, poput zidova, rešetki ili ulaznih vrata koja se kontroliraju pametnim karticama. Organizacija bi se trebala pobrinuti da samo ovlašteni korisnici imaju pristup sigurnosnom opsegu. Potrebno je voditi računa i o zaštiti od prirodnih prijetnji, npr. požara, poplave ili potresa. Oprema treba biti smještena u prostoru zaštićenom od krađe, prašine, kemijskih efekata, vandalizma, elektromagnetske radijacije i sl. Pomoćna oprema poput grijanja, ventilacije, klimatizacije, vodovoda i sl. treba odgovarati sustavu za koji je predviđena. Svi kablovi trebaju biti zaštićeni od oštećenja. Opremu je potrebno servisirati i održavati u planiranim intervalima kako bi se smanjio rizik od kvarova. Prije premještanja opreme iz organizacijskih prostorija, zahtjeva se autorizacija.
16
3.3.6 Upravljanje komunikacijama i operacijama Ovo je najveća domena u normi i sadrži deset potkategorija. 1) Operativne procedure i odgovornosti. Ovdje se opisuje važnost i način dokumentiranja operativnih procedura. Sve dokumentirane procedure trebaju biti dostupne korisnicima koji ih trebaju. Sve promjene u informacijskom sustavu trebaju biti identificirane kako bi se njima moglo sustavno upravljati. Ukoliko se radi o većim organizacijama važno je u što većoj mjeri odvojiti pojedine dužnosti kako bi se spriječila nenamjerna modifikacija ili pogrešna primjena resursa. Razvojno, testno i operativno okruženje se također preporuča u što većoj mjeri razdvojiti kako bi se spriječili operativni problemi i reducirao rizik od neovlaštenih izmjena. 2) Upravljanje uslugama treće strane. Cilj je implementirati i održavati sigurnosne mjere kako bi se osigurala sigurnost usluga koje pruža treća strana. Predlađe se redovito revidiranje usluge kako bi se osiguralo poštivanje ugovora s trećom stranom. Sve promjene u uslugama trebaju biti na vrijeme detektirane i uzete u obzir. 3) Planiranje i prihvaćanje sustava. Cilj je minimizirati rizik od pogrešaka u sustavu. Planiranje i pripremanje je potrebno kako bi se osigurala raspoloživost sustava i zadovoljavanje odgovarajućih performansi sustava. U slučaju potrebe za novim sustavima, utemeljuju se sigurnosni i operativni zahtjevi. Izvode se projekcije zahtjeva za kapacitetom. Kriteriji prihvaćanja novih sustava trebaju biti utemeljeni kako bi se sustav mogao ispitati prije prihvaćanja. 4) Zaštita od maliocioznog i mobilnog koda. Mjere opreza su nužne kako bi se zaštitio integritet programske opreme i informacija. Programska oprema i informacije su osjetljivi na umetanje zloćudnog koda poput virusa, crvi, trojanskih konja i sl. Korisnici sustava trebaju biti svjesni opasnosti od zloćudnog koda. Nužno je implementirati kontrole za obranu od malicioznog koda, kao i od mobilnog koda. Dobro je potpuno zabraniti izvođenje mobilnog koda, a ukoliko to nije moguće, onda dopustiti samo izvođenje u kontroliranom okruženju. 5) Sigurnosne kopije. Kako bi se zaštitio integritet i raspoloživost informacija potrebno je redovito izrađivati sigurnosne kopije. Dobro je utemeljiti procedure u kojima će se definirati strategija izrade sigurnosnih kopija, frekvencija izrade kopija, načini testiranja kopija i sl. 6) Upravljanje mrežnom sigurnošću. Cilj je osigurati zaštitu informacija u mrežama, kao i pripadne mrežne infrastrukture. Mreže se često pretežu izvan granica organizacije. Stoga je potrebno razmotriti tok podataka, legalne implikacije, nadzor i zaštitu mreža. Dodatne kontrole su potrebne ukoliko informacije prolaze javnim mrežama. 7) Rukovanje medijima. Kako bi se zaštitila tajnost informacija i spriječile neautorizirane modifikacije potrebno je kontrolirati sve vrste medija i fizički ih zaštititi. Nakon što mediji više nisu potrebni organizaciji preporuča se njihov sadržaj uništiti. Poželjno je utemeljiti procedure za odlaganje medija. Sva sustavska dokumentacija također treba biti zaštićena od neovlaštenog pristupa.
17
8) Razmjena informacija. Cilj ove potkategorije je omogućiti sigurnu razmjenu informacija i programa unutar organizacije ili s nekim vanjskim entitetom. Potrebno je utemeljiti formalne procedure razmjene informacija svim vrstama komunikacijskih kanala. Ukoliko je riječ o razmjeni informacija između organizacije i vanjske stranke, predlaže se izrada sporazuma o razmjeni. Svi fizički mediji koji se iznose izvan organizaicje trebaju biti zaštićeni od neovlaštenog pristupa. Informacije koje su sastavni dio elektroničkih poruka trebaju biti zaštićene u skladu s njihovom osjetljivošću. 9) E-trgovina. Informacije uključene u elektroničku trgovinu koje prolaze javnim mrežama tebaju biti zaštićene od neovlaštenih aktivnosti, osporavanja ugovora i neovlaštenog razotkrivanja ili modificiranja. Informacije uključene u on-line transakcije trebaju biti zaštićene od nepotpunog prijenosa, krivog usmjeravanja, neovlaštene izmjene poruka, neovlaštenog razotkrivanja i umnožavanja poruka ili odgovora. Integritet informacija koje su javno dostupne treba biti zaštićen od neovlaštene modifikacije. 10) Nadziranje. Sustave je potrebno nadzirati i bilježiti događaje vezane za sigurnost. Datoteke sa zapisima o korištenju sustava i greškama sustava se upotrebljavaju kako bi se identificirali problemi informacijskog sustava. Nadzor sustava služi za provjeru efikasnosti kontrola i verifikaciju usklađenosti s modelom sigurnosne politike. Potrebno je voditi dnevnike o aktivnostima korisnika, iznimkama, sigurnosnim događajima i sl. Dnevnici se trebaju čuvati određeni period, kako bi se mogli upotrijebiti u budućim istragama i nadzoru kontrole pristupa. Potrebno je voditi dnevnike svih administratorskih i operativnih aktivnosti. Dnevnici trebaju biti zaštićeni od neovlaštene modifikacije. Greške koje se dogode u sustavu također treba zapisivati, analizirati i poduzimati odgovarajuće mjere za njihovu sanaciju. 3.3.7 Kontrola pristupa Domena sadrži šest potkategorija. 1) Poslovni zahtjevi kontrole pristupa. Pristup informacijama, kao i svim ostalim resursima, te poslovnim procesima se treba kontrolirati u skladu s poslovnim i sigurnosnim zahtjevima. Pravila kontrole pristupa trebaju uzeti u obzir politike autorizacije i pružanja informacija. Potrebno je utemeljiti, dokumentirati i, u određenim vremenskim intervalima, revidirati politiku kontrole pristupa. Pravila kontrole pristupa trebaju biti jasno definirana za svakog korisnika ili grupu korisnika u politici kontrole pristupa. Kontrole pristupa su logičke, ali i fizičke, te se zajedno trebaju i razmatrati. 2) Upravljanje pristupom korisnika. Potrebno je omogućiti autorizirani pristup informacijskim sustavima i spriječiti neautorizirani pristup.Da bi se to omogućilo dobro je osigurati formalne procedure za kontrolu prava pristupa informacijskim sustavima i uslugama. Procedure trebaju obrađivati cijeli ciklus pristupa korisnika, počevši od inicijalne registracije novog korisnika da ukidanja prava pristupa. Posebnu pozornost je potrebno posvetiti kontroliranju privilegiranih pristupnih prava koji korisniku omogućuju promjenu sustavskih kontrola. Dodjeljivanje i uporaba privilegija treba biti ograničena i kontrolirana. Dodjeljivanje lozinki treba biti kontrolirano kroz formalni proces. Uprava treba revidirati korisnička prava pristupa u redovitim intervalima.
18
3) Obveze korisnika. Suradnja autoriziranih korisnika je ključna za učinkovito ostvarenje sigurnosti. Korisnici trebaju biti svjesni svojih odgovornosti kako bi se održala učinkovitost pristupnih kontrola. Potrebno je utemeljiti politiku za čuvanje informacija na radnom mjestu kako bi se spriječio neautoriziran pristup informacijama i informacijskim sredstvima. Potrebno je poticati korisnike da slijede dobru sigurnosnu praksu za obabir i uporabu lozinki. 4) Kontrola pristupa mreži. Cilj je spriječiti neovlašten pristup mrežnim uslugama. Potrebno je kontrolirati pristup, kako unutarnjim, tako i vanjskim mrežnim uslugama. Pristup korisnika mreži i mrežnim uslugama ne smije narušiti sigurnost mrežnih usluga, a to se postiže:
• sučeljem između organizacijske mreže i mreža drugih organizacija ili javnih mreža;
• prikladnim autentifikacijskim mehanizmima za korisnike i opremu u mreži;
• kontrolom pristupa korisnika informacijskim uslugama.
Potrebno je formulirati politiku za korištenje mreže i mrežnih usluga. Predlaže se upotrebljavati samo prikladne autentifikacijske metode za kontrolu pristupa udaljenih korisnika. Autentifikacija udaljenih korisnika se može postići, npr. upotrebom kriptografskih tehnika, sklopovskih tokena ili upit/odgovor protokola. Potrebno je uzeti u obzir automatsku detekciju opreme kao način autentifikacije povezivanja sa specijalnih lokacija ili opreme. Jedna od metoda kontroliranja sigurnosti u velikim mrežama je podjela na logičke domene. Stupnjevito postavljanje sigurnosnih kontrola se može primjeniti na različite logičke domene da bi se još više razdvojilo mrežno sigurnosno okruženje. Domene se trebaju definirati na osnovu procjene rizika i različitih sigurnosnih zahtjeva. 5) Kontrola pristupa operacijskim sustavima. Sigurnosne kontrole trebaju ograničiti pristup neautoriziranim korisnicima. Te kontrole trebaju imati sljedeće značajke:
• autentifikacija korisnika u skladu s politikom kontrole pristupa;
• snimanje uspješnih i neuspješnih pokušaja autentifikacije;
• snimanje uporabe specijalnih sustavskih privilegija;
• podizanje alarma u slučaju kršenja sigurnosne politike;
• prikladni načini autentifikacije;
• ograničavanje vremena povezivanja korisnika i sl.
6) Aplikacijska i informacijska kontrola pristupa. Cilj ove potkategorije je spriječiti neautoriziran pristup informacijama koje se nalaze u aplikacijskim sustavima. Pristup informacijama i funkcijama aplikacijskih sustava treba biti ograničen u skladu s politikom kontrole pristupa. Osjetljivi sustavi trebaju biti smješteni u izoliranom okruženju.
7) Mobilno računarstvo i udaljeni rad. Cilj je pružiti sigurnost kod uporabe mobilnih naprava i kod rada na daljinu. Zaštita treba odgovarati rizicima koje ovakav način rada uzrokuje. Kod uporabe mobilnih naprava potrebno je primjeniti odgovarajuće kontrole za zaštitu od rizika rada u udaljenom okruženju. U slučaju rada na daljinu, organizacija treba zaštititi udaljenu lokaciju i osigurati uvjete za ovakav rad.
19
3.3.8 Nabava, razvoj i održavanje informacijskog sustava 1) Sigurnosni zahtjevi informacijskih sustava. Sigurnost treba biti integralni dio informacijskih sustava. Informacijski sustavi uključuju operacijske sustave, infrastrukture, poslovne aplikacije, gotove proizvode i usluge i aplikacije razvijene unutar organizacije. Dizajn i implementacija informacijskih sustava koji omogućuju izvođenje poslovnih aktivnosti može biti od presudne važnosti za sigurnost. Sigurnosni zahtjevi trebaju biti definirani prije razvoja i implementacije informacijskog sustava. Poslovni zahtjevi i specifikacija novog informacijskog sustava ili nadogradnja već postojećeg sustava , treba uključivati i sigurnosne kontrole. 2) Ispravna obrada informacija u aplikacijama. Nastoje se spriječiti greške, gubitak ili neovlaštena modifikacija informacija u aplikacijama. U aplikacije je potrebno ugraditi kontrole kako bi se osigurala ispravna obrada informacija. Kontrole trebaju validirati unesene podatke, te kontrolirati internu obradu i izlazne podatke. Dodatne kontrole mogu biti potrebne za sustave koji obrađuju osjetljive i kritične informacije. 3) Kriptografske kontrole. Potrebno je razviti i implementirati kriptografske kontrole za zaštitu informacija. Upravljanje kriptografskim ključevima osigurava ispravnu uporabu kriptografskih tehnika. ISO/IEC 11770 pruža dodatne informacije o upravljanju ključevima. Taj standard definira model upravljanja ključevima koji je neovisan o kriptografskom algoritmu. Identificira ciljeve upravljanja ključevima, osnovne koncepte i servise za upravljanje ključevima. 4) Sigurnost sustavskih datoteka. Pristup sustavskim datotekama i izvornom tekstu programa treba biti kontroliran, a IT projekti i uz njih vezane aktivnosti trebaju trebaju biti izvedeni na siguran način. Osjetljivi podaci se ne bi smjeli izlagati u testnim okruženjima. Potrebno je ugraditi procedure za kontrolu instalacije programske opreme i operacijskih sustava. Testne podatke je potrebno pažljivo birati, zaštititi i kontrolirati. 5) Sigurnost i razvoj programske opreme. Cilj je održati sigurnost aplikacijskih programa i pripadnih informacija. Potrebno je kontrolirati razvoj programske opreme kao i pripadno razvojeno okruženje. Voditelji koji su odgovorni za aplikacijske sustave, trebaju biti odgovorni i za sigurnost projekta i pripadnog okruženja. Trebaju osigurati da su predložene sustavske promjene provjerene i da ne kompromitiraju sigurnost sustava. Implementacija promjena treba biti kontrolirana upotrebom formalnih procedura za kontrolu promjena. Kada dođe do promjena u operacijskim sustavima, potrebno je ispitati i testirati kritične poslovne aplikacije kako bi se osiguralo da promjene nisu ugrozile operativnost i sigurnost organizacije. Potrebno je spriječiti curenje informacija. Kad se aplikacije razvijaju izvan organizacije, a po narudžbi organizacije, tada je potrebno da organizacija nadzire razvoj. 6) Upravljanje tehničkim ranjivostima. Potrebno je smanjiti rizik od eksploatacije objavljenih tehničkih ranjivosti. Upravljanje tehničkim ranjivostima treba biti obavljano sustavno i efikasno. Potrebno je na vrijeme primati informacije o tehničkim ranjivostima informacijskih sustava, procjeniti izloženost tim ranjiivostima, te poduzeti mjere za smanjenje rizika od tih ranjivosti.
20
3.3.9 Upravljanje incidentima informacijskog sustava Potrebno je osigurati da se sigurnosne slabosti i incidenti povezane s informacijskim sustavima priopće pravovremeno kako bi se na vrijeme poduzele odgovarajuće mjere. Potrebno je utemeljiti formalne procedure za prijavljivanje incidenata. Svi zaposlenici, suradnici i ostali korisnici trebaju poznavati procedure za prijavljivanje različitih tipova incidenata koji mogu imati utjecaja na sigurnost resursa organizacije. Svi zaposlenici, suradnici i treće strane trebaju prijaviti sve sigurnosne slabosti u sustavima i uslugama koje zapaze ili na koje sumnjaju. Potrebno je utemeljiti obveze i procedure za rješavanje sigurnosnih incidenata nakon što su prijavljeni. Kao rezultat nadzora, evaluacije i upravljanja sigurnosnim incidentima dolazi do kontinuiranog poboljšavanja informacijskog sustava. U nekim slučajevima je potrebno imati prikupljene dokaze o incidentu, kako bi se postiglo usklađivanje sa zakonom. U nekim slučajevima je dokaze o sigurnosnom incidentu potrebno sakupljati, čuvati i prezentirati kako bi se zadovoljili pravni zahtjevi. 3.3.10 Upravljanje poslovnim kontinuitetom Prekidi u odvijanju poslovnih procesa, odnosno poslovanju organizaciji uzrokuju direktno mjerljive financijske gubitke. Osim tih, mjerljivih gubitaka, prekidi u poslovanju, mogu uzrokovati i druge štete kao što su gubitak kredibiliteta kod klijenata, pozicije na tržištu, ugleda organizacije koji nisu direktno mjerljivi, ali mogu imati vrlo ozbiljne posljedice na poslovanje. Predmet analize na utjecaj poslovanja bi trebale biti katastrofe, sigurnosni propusti, nedostupnost usluga i sl. Potrebno je razviti i implementirati plan poslovnog kontinuiteta kako bi se osigurao kontinuitet poslovnih operacija. Upravljanje poslovnim kontinuitetom treba uključivati kontrole za identifikaciju i smanjivanje rizika, kao dodatak općenitim procesima procjene rizika, te osigurati da su informacije potrebne za poslovne procese lako dostupne. 3.3.11 Usklađivanje Svi važeći zakonski i ugovorni zahtjevi trebaju biti definirani, dokumentirani i ažurirani, kao i način na koji organizacija zadovoljava te zahtjeve. Potrebno je implementirati procedure za usklađivanje sa zakonskim i ugovornim uvjetima korištenja različitih materijala poštivajući prava intelektualnog vlasništva. Važne zapise je potrebno čuvati od gubitka, uništenja, krivotvorenja u skladu sa zakonskim, ugovornim i poslovnim zahtjevima. Zaštita podataka i privatnosti treba biti osigurana u skladu s relevantnim zakonima, propisima i eventualnim uvjetima ugovora. Potrebno je osigurati da su sve sigurnosne procedure implementirane korektno, kako bi se postigla njihova usklađenost sa sigurnosnim politikama i standardima. Informacijske sustave je potrebno redovito provjeravati kako bi se utvrdila usklađenost sa sigurnosnim implementacijskim standardima.
21
4 ISO/IEC 27001
4.1 Informacijska tehnologija i ISO/IEC 27001 Norma ISO/IEC 27001 opisuje proces uvođenja sustava upravljanja sigurnošču informacija (engl. Information Security Management System (ISMS)). Takav proces pruža sistematski pristup upravljanju osjetljivim informacijama s ciljem očuvanja njihove sigurnosti. Cilj procesa je postići sigurnost informacija u tri glavna aspekta: povjerljivost, integritet i raspoloživost, uključivši pritom relevantne organizacijske resurse, politike, procedure i informacijske sustave. Protok velikih količina informacija među informacijskim sustavima otvara informacijske sustave zlonamjernim napadima neovlaštenih korisnika. Napadači prodiru u informacijske sustave uzrokujući velike štete cjelokupnom poslovanju organizacije. Unutar samih organizacija, zaposlenici su putem računala spojeni direktno na Internet, što otvara mogućnosti namjernih i nenamjernih otkrivanja povjerljivih podataka kao i otvaranja potencijalnih sigurnosnih ranjivosti sustava. Uzrok tome je često neupućenost, nedovoljna obrazovanost o problemima sigurnosti informacijskih sustava, ili jednostavno nepažnja. Brzim razvojem informacijskih tehnologija okruženje informacijskih sustava se u velikoj mjeri mijenja. Upotrebom operacijskih sustava opće namjene i distribuiranog procesiranja, te proširenjem izvora pristupa sustavu dodatno se povećavaju i izvori potencijalnih ranjivosti sustava. Kao rezultat ovih pojava, organizacije prepoznaju potrebu za implementiranjem i dokumentiranjem sustava upravljanja sigurnošću informacija Sustav upravljanja sigurnošću informacija može se jednostavno protumačiti kao sigurnosna mjera kojom se smanjuju mogućnosti napadača, bilo vanjskog ili unutarnjeg. Sustav upravljanja sigurnošću infomacija je jednako tako i sredstvo pomoću kojeg više poslovodstvo organizacije prati i nadzire sigurnost informacijskih sustava organizacije, svodeći poslovni rizik na minimum i osiguravajući da sigurnosni zahtjevi poslovanja ispunjavaju korporacijske i pravne obveze. Norma ISO/IEC 17799 predstavlja široki spektar smjernica za implementaciju sigurnosnih kontrola, te pokriva sigurnosne politike, pravne, organizacijske, fizičke i ljudske komponente informacijskih sustava. Norma ISO/IEC 27001 predstavlja specifikaciju s postupcima korištenja i implementiranja sustava upravljanja sigurnošću informacija, dajući pri tome upute što je sve potrebno napraviti kako bi se uspostavila prihvatljiva razina informacijske sigurnosti.
22
4.2 PDCA model upravljanja
ISO/IEC 27001 upotrebljava PDCA (engl. Plan-Do-Check-Act) model. Ovaj model ističe važnost pažljivog planiranja programa uspostave sustava, što rezultira efikasnim mjerama za njegovo trajno poboljšanje i pravilnu uporabu. PDCA model je prikazan na sljedećoj slici (Slika 4.1).
Slika 4.1 – PDCA model primjenjen na ISMS procese
U sljedećoj tablici (Tablica 4.1) nalazi se opis aktivnosti uključenih u pojedinu fazu PDCA ciklusa.
Tablica 4.1 – Aktivnosti u pojedinoj fazi PDCA modela
Plan (uspostaviti ISMS)
Uspostaviti ISMS politiku, ciljeve, procese i procedure važne za upravljanje rizikom i povećanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije.
Do (implementirati i izvršavati ISMS)
Implementirati i izvršavati ISMS politiku, kontrole, procese i procedure.
Check (nadgledati i provjeravati ISMS)
Procijeniti i, gdje je primjenjivo, mjeriti performanse procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavati upravu o rezultatima.
Act (održavati i poboljšavati ISMS)
Poduzeti korektivne i preventivne mjere zasnovane na rezultatima internog ISMS nadzora (engl. audit) i provjere uprave, kako bi se omogućilo stalno poboljšanje ISMS-a.
Zainteresirane strane
Zahtjevi i očekivanja od informacijske
sigurnosti
Zainteresirane strane
Sustav upravljanja sigurnošću informacija
Plan
Do
Check
Act
23
4.2.1 Plan
Slika 4.2 - "Plan" faza PDCA ciklusa
24
Planiranje implementacije sustava upravljanja sigurnošću informacija uključuje definiciju poslovne politike organizacije i njenih ciljeva u smislu zahtjeva na sigurnost informacija, procjenu opsega sustava upravljanja sigurnošću, odlučivanje i skupljanje resursa za izvedbu procjene rizika, te definiranje pristupa kontinuiranom analiziranju i procjeni rizika. Na slici 4.2 navedene su aktivnosti u Plan fazi. 1. Podrška uprave. Prije implementacije bilo kojeg efikasnog sustava upravljanja, najvažnije je da uprava u potpunosti razumije koristi uvođenja sustava te podržava njegovo uvođenje, svjesna mogućih problema i prepreka koje se mogu pojaviti. Sigurnost treba biti potaknuta od vrha organizacije. Kako bi se uspješno ispunili ciljevi i zahtjevi informacijske sigurnosti, važno je da izvršno tijelo organizacije preuzme inicijativu u promicanju informacijske sigurnosti, te pruži punu potporu timu ili vanjskim suradnicima koji će provoditi proces. 2. Definiranje opsega sustava upravljanja sigurnošću informacija. Drugi korak je definiranje područja koje će pokrivati implementirani sustav upravljanja sigurnošću informacija. To može biti područje cijelog informacijskog sustava organizacije, ili samo jedan njegov dio. Također, sustav može pokrivati samo jednu specifičnu uslugu – npr. Internet bankarstvo. Područje opsega sustava upravljanja sigurnošću informacija pokriva sve one domene za koje organizacija smatra da trebaju adekvatnu informacijsku zaštitu. 3. Kreiranje dokumenta sigurnosne politike. Dokument sigurnosne politike je relativno kratak dokument (1-3 stranice), potpisan od strane uprave organizacije, te prezentiran svim zaposlenicima. Namjena dokumenta je iskazivanje potpune potpore poslovodstva uvođenju sustava upravljanja sigurnošću informacija. Dokumentom se nedvojbeno izražava politika organizacije da će osigurati tajnost informacija, štititi njihov integritet, te osiguravati njihovu dostupnost samo autoriziranim korisnicima. Svi drugi relevantni dokumenti, pravne i zakonske odredbe od specifične važnosti za organizaciju, kao i ostali dokumenti sigurnosne politike namijenjene određenim aspektima informacijskog sustava, trebaju biti navedeni u krovnom dokumentu sigurnosne politike. 4. Kreiranje strukture sigurnosne organizacije. Organizacija mora uspostaviti upravljačku strukturu za provedbu mjera i strategija sustava upravljanja sigurnošću informacija. Struktura se brine za provedbu, kreiranje i održavanje ažurnosti sigurnosnih politika, kao i relevantnih standarda, procedura i planova. Struktura se sastoji od različitih tijela i timova zaduženih za specifične sigurnosne aspekte. Konačnu odgovornost za provedbu sigurnosnih mjera preuzima glavni službenik za informacijsku sigurnost. Njegove odgovornosti i ovlaštenja moraju biti jasno definirane, kao i odgovornosti i ovlaštenja svakog zaposlenika u upravljačkoj strukturi za sigurnost informacija. Na taj način postiže se adekvatna provedba sigurnosnih mjera unutar organizacije. 5. Izvođenje procjene rizika. Kako bi se donijela odluka o tome koje je informacijske resurse potrebno zaštititi, nužno je provesti detaljnu analizu organizacije u cilju utvrđivanje lokacije, načina postupanja i odgovornosti za pojedine informacijske resurse. Informacijski resursi svakog dijela organizacije trebaju se klasificirati unutar aspekata tajnosti, integriteta i dostupnosti. 6. Odabir sigurnosnih kontrola. Norma ISO/IEC 17799 sadrži 127 sigurnosnih kontrola. Podrazumijeva se da nisu sve kontrole primjenjive na sve organizacije. Preporučuje se upotreba samo onih kontrola koje su u procesu analize rizika identificirane kao nužne za primjenu. Nakon odabira sigurnosnih kontrola, specifične sigurnosne politike definiraju se za
25
svaku pojedinu kontrolu, kako bi se osigurala željena razina sigurnosti. Preporuke i procedure za implementaciju sigurnosnih politika specificiraju se u posebnoj dokumentaciji o implementaciji sigurnosne politike, te se sama implementacija mjera definiranih politikama provodi u "Act" fazi PDCA ciklusa. 7. Kreiranje Izjave o primjenjivosti. Norma ISO/IEC 27001 zahtijeva postojanje dokumenta zvanog Izjava o primjenjivosti (engl. Statement Of Applicability, SoA), koji sadrži popis sigurnosnih kontrola s objašnjenjima zašto su pojedine kontrole uključene odnosno isključene iz sustava. Standard podrazumijeva da je opseg sustava upravljanja sigurnošću informacija specifičan za svaku pojedinu organizaciju i samim tim je opravdano isključivanje pojedinih kontrola iz sustava.
26
4.2.2 Do Prilikom implementacije sustava upravljanja sigurnošću informacija nužno je fokusirati se na potrebu za dugoročnim i ispravnim mehanizmom održavanja funkcionalnosti sustava. Na sljedećoj slici (Slika 4.3) prikazane su aktivnosti u Do fazi.
Slika 4.3 - "Do" faza PDCA ciklusa
1. Izrada i implementacija plana upravljanja sigurnosnim rizikom. Plan upravljanja sigurnosnim rizikom je projektni plan kojim se uključuju eventualne dodatne sigurnosne kontrole u sustav upravljanja sigurnošću informacija ukoliko se za tim otkrije potreba prilikom izvođenja procjene rizika. Uslijed promjene informacijskih resursa ili promjene veličine rizika za pojedine informacijske resurse, potrebno je ponovno provesti postupak procjene rizika te revidirati i ažurirati sigurnosnu politiku za relevantne sigurnosne kontrole.
27
Pri formulaciji mjera za postizanje željene razine sigurnosti, formulira se plan za upravljanje sigurnosnim rizikom tako da se veličina rizika nastoji svesti na minimalan iznos. 2. Implementacija sigurnosnih kontrola. Dok se definiranjem sigurnosnih politika za odabrane sigurnosne kontrole opisuje koje mjere bi trebalo poduzeti za postizanje i održavanje željene razine sigurnosti, njihova implementacija podrazumijeva specifikaciju kako je potrebno implementirati definirane sigurnosne mjere opisane dokumentima sigurnosne politike. Nužno je redovito provjeravati sigurnosne politike i metode njihove implementacije, kako bi se na vrijeme odredila optimalna metoda suočavanja s novim sigurnosnim prijetnjama. Budući da su sposobnosti napadača sve sofisticiranije i štete koje mogu nastati njihovim djelovanjem sve veće, važno je često provjeravati i ažurirati sigurnosne politike i metode njihove implementacije. 3. Provođenje obrazovnih programa. Dio implementacije sustava upravljanja sigurnošću informacija može se realizirati automatski putem tehničkih procedura ugrađenih u informacijski sustav. Međutim, veći dio implementacije ovisi o odlukama i aktivnostima ovlaštenih osoba kao i svih korisnika informacijskog sustava organizacije. Kako bi se podigla svijest o važnosti pridržavanja sigurnosnih mjera implementiranih kroz sustav upravljanja sigurnošću informacija, važno je provoditi odgovarajuću i planiranu izobrazbu zaposlenika o važnosti sigurnosti, te pridržavanju sigurnosnih politika i procedura. 4. Upravljanje operacijama i resursima. Kako bi se upravljanje operacijama i resursima sustava upravljanja sigurnošću informacija pravilno i efikasno provodilo, važno je uspostaviti takav tip sigurnosne organizacije koji se ne oslanja pretjerano na pojedinačne zaposlenike. Također, nužno je uspostaviti sustav brzog reagiranja na incidente kako bi se osigurao kontinuirani rad informacijskog sustava i poslovanja organizacije. Svaki novi informacijski resurs treba biti provjeren i testiran prije uključivanja u informacijski sustav. Specifikacije resursa moraju se nadzirano pohranjivati i kontrolirati. Ukoliko je određeni uređaj uništen ili je na njemu izveden popravak, odgovarajuća procedura treba se provoditi pri rukovanju uređajem s ciljem sprečavanja otkrivanja osjetljivih informacija zlonamjernim korisnicima. 5. Uočavanje i reagiranje na sigurnosne incidente. Svaki zaposlenik dužan je o uočenom sigurnosnom incidentu izvijestiti osobu nadležnu za provedbu sigurnosnih mjera, bez pokušaja samostalnog rješavanja incidenta. Za rješavanje sigurnosnih incidenata potrebno je kreirati posebnu proceduru i slijediti metode i odgovornosti definirane procedurom. Također je prilikom rješavanja sigurnosnih incidenata nužno proizvesti izvještaj o riješenim sigurnosnim incidentima.
28
4.2.3 Check Implementacija ove faze podrazumijeva kontinuirano praćenje efikasnosti sustava upravljanja sigurnošću informacija s perspektive zadovoljavanja poslovnih potreba organizacije i njegove praktične upotrebe i provedbe unutar organizacije. Aktivnostu u ovoj fazi prikazane su na sljedećoj slici (Slika 4.4).
Slika 4.4 - "Check" faza PCDA ciklusa 1. Izvršavanje procedura za nadzor sustava. Osiguranje željene razine sigurnosti informacijskog sustava održava se primjenom pravila i procedura za nadzor sustava upravljanja sigurnošću informacija. Budući da se nove sigurnosne prijetnje otkrivaju na dnevnoj bazi, nužno je pratiti izvore informacija o sigurnosnim prijetnjama i redovito ažurirati sigurnosne mehanizme za sprečavanje tih prijetnji. 2. Provjera efikasnosti sustava. Konstantno provjeravanje sigurnosnih mjera i mehanizama implementiranih sustavom upravljanja sigurnošću informacija nužno je kako bi se osigurala
29
njegova efikasnost. Provjeru je dužan provoditi svaki zaposlenik u svakom aspektu svog rada, a osim toga nužno je provoditi i periodičke provjere ranjivosti sustava. Periodičke provjere ranjivosti mogu se provoditi unutar same organizacije ili se za to mogu angažirati osposobljeni stručnjaci izvan organizacije kako bi provjera bila što je moguće objektivnija. Uzimajući u obzir rezultate takvih provjera, provode se mjere za poboljšanje sustava upravljanja sigurnošću informacija. 3. Provjera razine rezidualnog i prihvatljivog rizika. Efektom sigurnosne mjere smatra se njezina sposobnost umanjivanja prijetnje, ranjivosti ili čak vrijednosti informacijskog resursa kako bi se postigao minimalan rizik. Ovo nas dovodi do koncepta rezidualnog rizika. Za umanjivanje ranjivosti informacijskog sustava mogu se upotrijebiti različite strategije, npr. uklanjanje svih ranjivosti,uklanjanje onih ranjivosti koje zahtijevaju najmanje financijskih sredstava a zatim onih unutar dozvoljenih sredstava, uspostava i odabir ravnoteže između tehničkih i ne-tehničkih metoda za uklanjanje ranjivosti i sl. Pokušaj uklanjanja svih ranjivosti najvjerojatnije neće umanjiti rizik na nulu. Štoviše, takva je metoda obično skupa i vremenski zahtjevna, te rijetko donosi očekivane rezultate. Ostale metode mogu se kombinirati u cilju dobivanja najboljeg rezultata, odlukom o odabiru određenog odnosa troška i učinka. Osim umanjivanja ranjivosti, kao metoda umanjivanja sigurnosnog rizika može se koristiti umanjivanje prijetnje ili vrijednosti informacijskih resursa, kao npr. umanjivanje vrijednosti podataka njihovom enkripcijom. 4. Provedba internih audita sustava. Interni auditi igraju važnu ulogu u održavanju kontinuiranog poboljšanja sustava. Cilj internih audita je provjera efikasnosti, ispravne implementacije i održavanja sigurnosnih kontrola s ciljem potvrde da se sustav upravljanja sigurnošću informacija ponaša onako kako se to od njega očekuje. 5. Pregled sustava od strane uprave. Uprava obavlja pregled i ocjenu sustava upravljanja sigurnošću informacija s ciljem potvrde kontinuirane adekvatnosti i efikasnosti sustava. Ulazni podaci za pregled poslovodstva su rezultati provedenih audita i kontrola, izvršene korektivne i preventivne akcije, preporuke za unapređenje sustava te nove tehnologije i metode koje se koriste u informacijskim sustavima. Rezultati pregleda poslovodstva su prijedlozi za korekcije sustava, njegovo unapređenje kao i osiguranje potrebnih resursa za provedbu specificiranih korektivnih i preventivnih mjera.
30
4.2.4 Act U ovoj fazi provode se korektivne i preventivne akcije predložene kao rezultat pregleda sustava od strane uprave. Cilj ove faze je postizanje stalnog unapređenja sustava upravljanja sigurnošću informacija.
Slika 4.5 – "Act" faza PDCA ciklusa 1. Implementacija metoda za poboljšanje sustava. Kontinuirana težnja unapređenju koja nije bazirana isključivo na aktualnom problemu vrlo je važna odlika svakog uspješnog sustava upravljanja organizacijom. Ona predstavlja napredak iz reaktivnog na proaktivno upravljanje. Metode kontinuiranog poboljšavanja sustava su identifikacija potencijalnih unapredivih područja, analiza i opravdanje potrebnih akcija, odluka o provođenju mjera za poboljšanje, implementacija poboljšanja, mjerenje utjecaja poboljšanja na organizaciju, analiza rezultata poboljšanja na pregledu poslovodstva, stalna potraga za novim metodama poboljšanja. 2. Provedba korektivnih i preventivnih mjera. Korektivne mjere provode se nakon ostvarenog sigurnosnog rizika kako bi se spriječila ponovna pojava rizika u budućnosti. Preventivne mjere se koriste za umanjivanje vjerojatnosti pojave rizika i umanjivanje potencijalnih šteta. 3. Informiranje o sustavu unutar organizacije. Provedba sigurnosnih politika i upoznavanje svih zaposlenika sa sustavom upravljanja sigurnošću informacija mora se provoditi planirano i bez osjećaja opterećenja među zaposlenicima organizacije. Potrebno je također provoditi redovitu izobrazbu uprave, korisnika i partnera o načinu primjene i pridržavanja implementiranih sigurnosnih politika.
31
4.3 Zahtjevi norme ISO/IEC 27001 4.3.1 Uspostava ISMS-a Prilikom uspostave sustava upravljanja sigurnošću informacija prema standardu ISO/IEC 27001, potrebno je učiniti sljedeće.
a) Odrediti opseg i granice ISMS-a u ovisnosti o karakteristikama poslovanja, organizaciji, lokaciji, sredstvima i tehnologiji, te dati opravdanje za sve što se isključuje iz ovog opsega.
b) Definirati politiku ISMS-a u ovisnosti o karakteristikama poslovanja, organizaciji, lokaciji, sredstvima i tehnologiji. Politika treba:
1) pružiti okvir za postavljanje ciljeva, te dati smjernice i principe za sve akcije koje se odnose na informacijsku sigurnost;
2) uzeti u obzir poslovne, zakonske i ugovorne sigurnosne zahtjeve;
3) biti usklađena sa strategijom upravljanja rizikom;
4) utemeljiti kriterije za evaluaciju rizika;
5) biti odobrena od uprave.
c) Definirati organizacijski pristup procjeni rizika.
1) Odabrati metodologiju procjene rizika koja je u skladu s ISMS-om i identificiranim poslovnim, zakonskim i regulatornim zahtjevima.
2) Razviti kriterij za prihvaćanje rizika i odrediti prihvatljivu razinu rizika.
d) Identificirati rizike.
1) Identificirati resurse koji su obuhvaćeni opsegom ISMS-a i odrediti njihove vlasnike.
2) Identificirati prijetnje tim resursima.
3) Identificirati ranjivosti koje mogu biti eksploatirane tim prijetnjama.
4) Identificirati utjecaj gubitka povjerljivosti, integriteta i raspoloživosti na resurse.
e) Analizirati i vrednovati rizike.
1) Procijeniti utjecaj sigurnosnih propusta na poslovanje organizacije, uzimajući u obzir povjerljivost, integritet i raspoloživost resursa.
2) Procjeniti vjerojatnost sigurnosnih propusta uzimajući u obzir identificirane prijetnje i ranjivosti, utjecaj povezan s tim resursima, te postojeće kontrole.
3) Procjeniti razine rizika.
4) Utvrditi jesu li rizici prihvatljivi ili zahtjevaju obradu.
f) Identificirati i vrednovati opcije za obradu rizika. Moguće akcije su:
1) Primjena odgovarajućih kontrola.
32
2) Svjesno i objektivno prihvaćanje rizika u skaldu s politikom organizacije i kriterijima za prihvaćanje rizika.
3) Izbjegavanje rizika.
4) Prenošenje poslovnog rizika na druge stranke, npr. dobavljače ili osiguravatelje.
g) Odabrati kontrolne ciljeve i kontrole za obradu rizika.
h) Dobiti odobrenje uprave za predložene rezidualne rizike.
i) Dobiti odobrenje uprave za implementaciju i izvršavanje ISMS-a.
j) Pripremiti Izjavu o primjenjivosti (engl. Statement of Applicability (SOA)). Izjava o primjenjivosti sadržava:
1) Odabrane kontrolne ciljeve, kontrole i razlog njihovog odabira.
2) Kontrolne ciljeve i kontrole koje su već implementirane.
3) Sve kontrolne ciljeve i kontrole koje su isključene, te razlog za njihovo isključenje.
4.3.2 Implementacija i izvršavanje ISMS Organizacija treba učiniti sljedeće.
a) Formirati plan za obradu rizika koji uključuje odgovarajuće akcije uprave, resurse, odgovornosti i prioritete za upravljenje rizicima informacijske sigurnosti.
b) Implementirati plan za obradu rizika kako bi se postigli odabrani kontrolni ciljevi, što uključuje razmatranje financiranja i raspodjele uloga i odgovornosti.
c) Implementirati odabrane kontrole kako bi se postigli kontrolni ciljevi.
d) Odrediti način mjerenja učinkovitosti odabranih kontrola ili grupa kontrola i definirati način na koji će ta mjerenja biti korištena u procjeni učinkovitosti kontrola, tako da rezultiraju usporedivim i ponovljivim rezultatima.
e) Pokrenuti program obuke i podizanja svijesti o informacijskoj sigurnosti.
f) Upravljati izvršavanjem ISMS-a.
g) Upravljati resursima za ISMS.
h) Implementirati procedure i druge kontrole koje će omogućiti pravovremenu detekciju sigurnosnih događaja i odgovor na sigurnosne incidente.
4.3.3 Nadzor i provjera ISMS Organizacija treba učiniti sljedeće.
a) Nadzirati i provjeravati procedure i druge kontrole kako bi se:
1) na vrijeme detektirale pogreške;
33
2) na vrijeme identificirali uspješni i neuspješni pokušaji sigurnosnih prekršaja i incidenata;
3) moglo utvrditi jesu li aktivnosti dodjeljene zaposlenicima prikladne i da li implementirane sigurnosne kontrole funkcioniraju kako se očekuje;
4) detektirali sigurnosni događaji i spriječili sigurnosni incidenti;
5) utvrdila efikasnost akcija poduzetih za rješavanje sigurnosnih prekršaja.
b) Izvoditi redovitu provjeru učinkovitosti ISMS-a (uključujući ispunjavanje ISMS politike i ciljeva, te provjeru sigurnosnih kontrola) uzimajući u obzir rezultate sigurnosnih ispitivanja, incidente, rezultate mjerenja učinkovitosti, prijedloge i povratne informacije svih zainteresiranih strana;
c) Mjeriti učinkovitost kontrola kako bi se provjerilo da su ispunjeni sigurnosni zahtjevi.
d) Provjeravati procjene rizika u planiranim intervalima i provjeriti rezidualne rizike te ustanovljene prihvatljive razine rizika.
e) Provoditi interna ispitivanja u planiranim intervalima;
f) Uprava treba redovito provoditi provjeru ISMS-a kako bi se osiguralo da je opseg i dalje primjeren i da su identificirana poboljšanja u ISMS procesima.
g) Nadopunjavati sigurnosne planove pri čemu treba uzeti u obzir rezultate ispitivanja i provjere ISMS-a.
h) Bilježiti akcije i događaje koji bi mogli imati utjecaj na učinkovitost i izvođenje ISMS-a.
4.3.4 Održavanje i poboljšavanje ISMS Organizacija treba redovito činiti sljedeće. a) Implementirati uočena poboljšanja ISMS-a;
b) Poduzeti odgovarajuće korektivne i preventivne mjere, te primjenjivati znanja i iskustva iz drugih organizacija i iz vlastite organizacije.
c) Obavijestiti sve zainteresirane strane o aktivnostima i poboljšanjima s prikladnom detaljnošću, te prema potrebi, usuglasiti način daljnjeg postupanja.
d) Osigurati da poboljšanja postignu ciljeve.
4.3.5 Potrebna dokumentacija
Standard zahtjeva da se dokumentiraju odluke uprave, kako bi se poduzete akcije mogle uskladiti s politikama i odlukama uprave. ISMS dokumentacija treba sadržavati: a) izjavu o sigurnosnoj politici i njezinim ciljevima;
b) opseg (engl. scope) ISMS-a;
34
c) procedure i kontrole na koje se ISMS oslanja;
d) opis metodologije za procjenu rizika;
e) izvještaj o procjeni rizika;
f) plan obrade rizika;
g) procedure potrebne organizaciji za planiranje, održavanje i kontoliranje sigurnosnih procesa;
h) Izjavu o primjenjivosti.
35
5 Upravljanje sigurnosnim rizicima
5.1 Važnost upravljanja rizikom Upravljanje informacijskom sigurnošću sve se više prepoznaje kao poslovna potreba. Također, upravljanje informacijskom sigurnošću u poslovanju, sve češće, direktno ili indirektno nameću i razni regulatorni propisi. Upravljanje rizikom je proces kroz koji se potvrđuje poslovna opravdanost odabira sigurnosnih rješenja i kontrola koje će osigurati dovoljnu razinu sigurnosti. Također, proces upravljanja rizikom omogućuje razvoj strategije i postavljanje ciljeva u području informacijske sigurnosti. Upravljanje rizikom uključuje tri procesa:
• procjenu rizika,
• umanjivanje rizika i
• evaluaciju rizika. Upravljanje rizikom je proces koji IT menadžerima omogućuje stvaranje ravnoteže između operativnog i ekonomskog troška zaštitnih mjera te dobiti koja se ostvaruje zaštitom informacijskih sustava i podataka koji se na njih oslanjaju. Dobro strukturirana metodologija upravljanja rizikom je jedan od ključnih faktora pri odabiru prikladnih sigurnosnih kontrola koje osiguravaju kontinuirano odvijanje poslovnih procesa.
5.2 Integracija upravljanja rizikom u životni ciklus razvoja sustava Organizacije usvajaju proces upravljanja rizikom pri razvoju IT sustava jer taj proces pruža osnovu za donošenje odluka i pridonosi minimizaciji negativnog učinka na organizaciju. Da bi se postigla potpuna efikasnost upravljanja rizikom, proces je potrebno integrirati u životni ciklus razvoja sustava (engl. System Development Life Cycle - SDLC ). Životni ciklus razvoja IT sustava ima 5 faza:
• inicijalna faza,
• faza razvoja ili akvizicije,
• implementacijska faza,
• faza operativnosti i održavanja i
• faza odlaganja.
Upravljanje rizikom je iterativni proces koji se može odvijati tijekom svake faze životnog ciklusa razvoja sustava.
36
Sljedeća tablica (Tablica 5.1) prikazuje i opisuje pojedine faze životnog ciklusa razvoja sustava te načine upravljanja rizikom u svakoj fazi.
Tablica 5.1 - Integracija upravljanja rizikom u životni ciklus razvoja sustava
SDLC faza Obilježja Upravljanje rizikom
Inicijalna faza Izražava se potreba za IT sustavom, te se dokumentira namjena i opseg sustava.
Identificirani rizici omogućuju izgradnju sigurnosnih zahtjeva i razvoj sigurnosne strategije.
Faza razvoja ili akvizicije
IT sustav se dizajnira, naručuje, programira, razvija ili na neki drugi način izgrađuje.
Rizici identificirani u ovoj fazi omogućuju sigurnosnu analizu IT sustava te balansiranje tijekom razvoja sustava.
Implementacijska faza
Sigurnosni elementi se konfiguriraju, testiraju i verificiraju.
Uspoređuje se implamentacija u operativnom okruženju sa sigurnosim zahtjevima. Odluke o upravljanju rizikom se donose prije operativnosti sustava.
Faza operativnosti i održavanja
Sustav obavlja svoju funkciju. Sustav se modificira u skladu s promjenama organizacijske politike, procedura i procesa ili promjenama u sklopovskoj ili programskoj opremi.
Upravljanje rizikom se odvija u skladu s periodičkom akreditacijom ili autorizacijom sustava ili kad se dogode značajne promjene u IT sustavu ili operativnom okruženju.
Faza odlaganja U ovoj fazi dolazi do odlaganja informacija, programske ili sklopovske opreme.
Upravljanje rizikom osigurava da se ispravno postupa s podacima ili opremom koja se odlaže.
5.3 Procjena rizika prema NIST-ovim preporukama Procjena rizika je prvi proces u metodologiji upravljanja rizikom. Organizacije na osnovu procjene rizika mogu odrediti opseg potencijalnih prijetnji i rizika koji se pojavljuje u životnom ciklusu razvoja sustava. Rizik je funkcija vjerojatnosti nekog događaja i utjecaja, odnosno (negativne) posljedice tog događaja u slučaju realizacije prijetnji koje iskorištavaju neku od ranjivosti. Da bi se odredila vjerojatnost pojave štetnog događaja, potrebno je analizirati prijetnje i potencijalne ranjivosti. Metodologija procjene rizika prema NIST-u rizika obuhvaća devet koraka:
• Korak 1 – Karakterizacija sustava
• Korak 2 – Identifikacija prijetnji
• Korak 3 – Identifikacija ranjivosti
• Korak 4 – Analiza kontrola
• Korak 5 – Određivanje vjerojatnosti
• Korak 6 – Analiza učinka
• Korak 7 – Određivanje rizika
• Korak 8 – Preporuka kontrola
• Korak 9 – Izrada dokumentacije
37
Na sljedećoj slici (Slika 5.1) je prikazan postupak procjene rizika prema NIST-u.
Slika 5.1 - Postupak procjene rizika prema NIST-ovim preporukama
Programska oprema Sklopovska oprema Sučelej sustava Podaci i informacije Ljudi Zadaća sustava
Korak 1 Karakterizacija sustava
Granice sustava Funkcije sustava Kritičnost sustavai podataka Osjetljivost sustava i podataka
Ulazi Izlazi Aktivnosti procjene rizika
Povijet napada na sustav Podaci iz medija, obavještajnih agencija i sl.
Korak 2 Identifikacija prijetnji
Izjava o prijetnjama
Korak 3 Identifikacija ranjivosti
Izvještaji iz prethodnih procjena rizika Rezultati ispitivanja Sigurnosni zahtjevi Rezultati sigurnosnih
Popis ranjivosti
Korak 4 Analiza kontrola
Implementirane kontrole Planirane kontrole
Popis implementiranih i planiranih kontrola
Korak 5 Određivanje vjerojatnosti
Motivacija izvora prijetnji Implementirane kontrole Prroda ranjivosti
Procjena vjerojatnosti
Korak 6 Analiza učinka
Procjena kritičnosti sredstva Kritičnost podataka Osjetljivost podataka
Procjena učinka
Korak 7 Određivanje rizika
Korak 9 Izrada dokumentacije
Korak 8 Preporuka kontrola
Vjerojatnost eksploatacije prijetnji Magnituda učinka Adekvatnost planiranih i implementiranih kontrola
Rizici i razine rizika
Preporučene kontrole
Izvještaj o procjeni rizika
38
5.4 Metode za analizu rizika Analiza rizika je proces koji se sastoji od nekoliko faza. Prema standardu ISO/IEC 13335-3 te faze su:
• identifikacija i vrednovanje (procjena nepovoljnog učinka na poslovanje) resursa;
• procjena prijetnji;
• procjena ranjivosti;
• procjena postojećih i planiranih mjera zaštite; i
• procjena rizika. Resursi koji imaju neku vrijednost i određeni stupanj ranjivosti su podložni riziku kad god postoji prijetnja koja može iskoristiti tu ranjivost. Procjena rizika je kombinacija potencijalnog nepovoljnog učinka na poslovanje ili neželjenog incidenta i procjenjenih prijetnji i ranjivosti. U praksi, rizik je mjera izloženosti prijetnjama sustava ili organizacije. Rizik je funkcija:
• vrijednosti resursa (engl. asset value - AV),
• prijetnje (engl. threat - T), odnosno vjerojatnosti njezina ostvarenja koja može naštetiti resursu
• ranjivosti (engl. vulnerability - V), odnosno mogućnosti njezina iskorištavanja koja može uzrokovati neželjene posljedice, i
• postojećih ili planiranih mjera zaštite koje mogu umanjiti opasnost ranjivosti, prijetnji i posljedica.
Cilj analize rizika je identificirati i procjeniti rizik kojem su izloženi IT sustavi i njihovi resursi kako bi se odabrale prikladne i opravdane mjere zaštite. Pri procjeni rizika potrebno je razmotriti posljedice ostvarenja prijetnje i vjerojatnost ostvarenja prijetnje. Posljedice se mogu procijeniti na nekoliko načina, uključujući uporabu kvantitativne, odnosno novčane mjere ili kvalitativne mjere. Može se korisititi i kombinacija tih dviju mjera. Kod procjene vjerojatnosti ostvarenja prijetnje, potrebno je utemeljiti vremenski okvir u kojem će resurs imati vrijednost i trebati zaštitu. Vjerojatnost ostvarenja prijetnje ovisi o:
• privlačnosti resursa, ukoliko se radi o namjernim ljudskim prijetnjama,
• lakoći iskorištavanja resursa u vlastite svrhe, ukoliko se radi o namjernim ljudskim prijetnjama,
• tehničkim sposobnostima izvršitelja prijetnje, ukoliko se radi o namjernim ljudskim prijetnjama,
• mogućnosti ostvarenja prijetnje,
• podložnosti ranjivosti eksploataciji.
Mnoge metode za analizu rizika koriste tablice i kombiniraju empirijske pokazatelje i subjektivnu procjenu. Ne postoji točna niti pogrešna metoda. Kod odabira metode važno je
39
odabrati metodu koja će dati ponovljive rezultate, te pronaći odgovarajuću kombinaciju subjektivne procjene i empirijskih pokazatelja. Sljedeće četiri metode su opisane u dodatku standarda ISO/IEC 13335-3. 5.4.1 Metoda 1 - Matrica predefiniranih vrijednosti Kod metoda ovog tipa vrijednost fizičkog resursa se procjenjuje u odnosu na trošak zamjene ili rekonstrukcije resursa (kvantitativna mjera). Taj trošak se zatim konvertira u kvalitativnu skalu koja se upotrebljava za podatkovne resurse. Vrijednost programske opreme se procjenjuje isto kao vrijednost fizičkih resursa. Dodatno, ako neki aplikacijski program ima unutarnje zahtjeve povjerljivosti, integriteta ili raspoloživosti, njegova vrijednost se procjenjuje kao i vrijednost podatkovnih resursa. Vrijednost podatkovnih resursa se određuje intervjuiranjem vlasnika podataka koji najbolje poznaju vrijednost i osjetljivost podataka. Neke od bitnih pretpostavki kod određivanja vrijednosti podataka su:
• sadrži li podatak osobne informacije,
• koje su zakonske i ugovorne obveze vezane za podatak,
• koji je ekonomski interes od podatka,
• znači li neraspoloživost podatka prekid neke poslovne aktivnosti,
• koji je financijski gubitak u slučaju kompromitiranja podatka i sl.
Ova metoda za procjenu rizika koristi tri parametra: vrijednost resursa, prijetnje i ranjivosti. Svaki od tih parametara promatra se u odnosu na moguće posljedice, dok se prijetnje promatraju u odnosu na odgovarajuće ranjivosti. Svi parametri se kvantificiraju proizvoljno.
R = f (AVI ,VI ,P ,TI ,V,P ).
Varijacija ove metode eksplicitno navedena u dodatku standarda ISO/IEC 13335-3 za određivanje vrijednosti resursa koristi numeričke vrijednosti u rasponu od 0 (mala) do 4 (vrlo velika), dok se za kvantifikaciju ranjivosti i prijetnji koristi raspon od 0 (niska razina) do 2 (visoka razina). Razina rizika se određuje sumom vrijednosti parametara, tj.
R = AV +V +T
Na sljedećoj tablici (Tablica 5.2) je prikazana matrica za procjenu rizika.
40
Tablica 5.2 – Matrica predefiniranih vrijednosti
Minimalna i maksimalna vrijednost procjenjenog rizika iznose:
RMIN = AVMIN +VMIN +TMIN = 0 ,
RMAX = AVMAX +VMAX +TMAX = 8 .
Procijenjeni rizik može poprimiti sve cjelobrojne vrijednosti između RMIN i RMAX, uključujući i njih. 5.4.2 Metoda 2 - Rangiranje prijetnji prema procjeni rizika Ova metoda za procjenu rizika formalno koristi samo dva parametra: utjecaj na resurs (vrijednost resursa) i vjerojatnost ostvarenja prijetnje. Implicitno se podrazumijeva da je utjecaj na resurs ekvivalentan vrijednosti resursa, dok se prijetnje promatraju u odnosu na odgovarajuće ranjivosti. Na taj način procijenjeni rizik postaje funkcija više parametara. R = f (I AV,T , PV,T ). Varijacija ove metode eksplicitno opisana u [1] i [2] koristi identični raspon vrijednosti za utjecaj (vrijednost resursa) i vjerojatnost ostvarenja prijetnje. Moguće vrijednosti su u rasponu od 1 (mala) do 5 (vrlo velika). Razinu rizika određuje produkt tih dvaju parametra.
R = I * P. Na sljedećoj tablici (Tablica 5.3) je prikazana matrica za procjenu rizika.
Prijetnja 0 1 2
Ranjivost 0 1 2 0 1 2 0 1 2
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
Vrijednost resursa
4 4 5 6 5 6 7 6 7 8
41
Tablica 5.3 - Rangiranje prijetnji prema procjeni rizika
Utjecaj (vrijednost)
Vjerojatnost ostvarenja
Rizik Rangiranje prijetnje
Prijetnja A 5 2 10 2
Prijetnja B 2 4 8 3
Prijetnja C 3 5 15 1
Prijetnja D 1 3 3 5
Prijetnja E 4 1 4 4
Prijetnja F 2 4 8 3
Minimalna i maksimalna vrijednost procjenjenog rizika iznose:
RMIN = IMIN * PMIN = 1 ,
RMAX = IMAX * PMAX = 25 .
Procijenjeni rizik može poprimiti cjelobrojne vrijednosti između RMIN i RMAX, uključujući i njih, te isključujući proste brojeve izvan raspona vrijednosti i njihove višekratnike. 5.4.3 Metoda 3 - Procjena vjerojatnosti ostvarenja i mogućih posljedica U ovoj metodi se nastoje odrediti posljedice incidenata i prioritet pojedinih resursa. Medoda se sastoji od tri koraka : 1. Dodjeljuje se vrijednost svakom resursu. Vrijednost resursa se bazira na potencijalnim posljedicama u slučaju ostvarenja neke prijetnje.
2. Procjenjuje se vjerojatnost ostvarenja prijetnje za neku ranjivost. Ta vjerojatnost predstavlja kombinaciju mogućnosti pojave prijetnje i lakoće iskorištavanja ranjivosti.
P = f(V,T)
Tablica 5.4 – Tablica procjene vjerojatnosti ostvarenja
Prijetnja 0 1 2
Ranjivost 0 1 2 0 1 2 0 1 2
Vjerojatnost ostvarenja 0 1 2 1 2 3 2 3 4
42
3. Rizik se procjenjuje kao kombinacija vrijednosti resursa i vjerojatnosti ostvarenja.
R = f (PV,T , AVI ,T ). Varijacija ove metode, eksplicitno opisana u standardu ISO/IEC 13335-3 za određivanje vrijednosti resursa koristi raspon od 0 (mala) do 4 (vrlo velika). Za određivanje ozbiljnosti ranjivosti i prijetnji koristi se raspon od 0 (mala) do 2 (velika). Vjerojatnost ostvarenja (frekvencija) računa se kao suma procijenjenih veličina ranjivosti i prijetnji.
P = V +T. Ukupni rizik računa se kao suma vrijednosti resursa i vjerojatnosti ostvarenja.
R = AV + P = AV +V +T.
Tablica 5.5 - Matrica za procjenu rizika
Vrijednost resursa 0 1 2 3 4
Vjerojatnost ostvarenja
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
5.4.4 Metoda 4 – Odvajanje prihvatljivih i neprihvatljivih rizika Još jedan način određivanja rizika je razlikovanje prihvatljivog i neprihvatljivog rizika. Na ovaj način određuje se u kojem je slučaju hitno potrebno reagirati na rizik, a kada se tretiranje rizika ne mora obaviti odmah. Prema ovoj metodi rizik može biti:
- prihvatljiv (P) ili
- neprihvatljiv (N). Metoda odvajanja prihvatljivih i neprihvatljivih rizika predstavlja ustvari varijaciju metode 3 (procjena vjerojatnosti ostvarenja i mogućih posljedica) ili metode 1 (matrica predefiniranih vrijednosti).
43
Tablica 5.6 - Matrica prihvatljivih i neprihvatljivih rizika
5.5 Alati za procjenu rizika Danas na tržištu postoje brojni komercijalni alati za procjenu rizika koji imaju mogućnosti prilagodbe specifičnom slučaju za koji se izvodi procjena rizika. Većina njih ne zahtjeva veliko znanje na području informacijske sigurnosti, te time postaje izuzetno jednostavna za korištenje. Gotovo svi komercijalni alati produciraju izvještaje koji su jasni ne samo tehničkom osoblju, nego i poslovodstvu zaduženom za donošenje odluka. Neki od alata sadrže i podršku za ISO/IEC 17799 standard, odnosno omogućuju mjerenje usklađenosti sa standardom i daju preporuke kako se uskladiti. 5.5.1 COBRA Risk Consultant COBRA Risk Consultant je alat koji se na tržištu nalazi od devedesetih. To je upitnik baziran na principu ekspertnog sustava i opširne baze znanja. Alat omogućuje:
• identifikaciju prijetnji, ranjivosti i faktora izloženosti,
• mjerenje rizika za različite dijelove sustava i određivanje potencijalnih posljedica na poslovanje organizacije,
• predlaganje detaljnih rješenja za redukciju rizika,
• izradu tehničkog i poslovnog izvještaja. COBRA Risk Consultant nudi dinamičku prilagodbu upitnika, te generira upitnik prilagođen tipu organizacije, operativnom okruženja i sustavu za koji se procjenjuje rizik. Postoji modul koji omogućuje modifikaciju upitnika. Risk Consultant nudi opciju "hipotetskog testiranja" (engl. hypothesis testing). Ta opcija određuje utjecaj dodatnih sigurnosih kontrola na razinu rizika, tj. pomaže pri određivanju opravdanosti i isplativosti kontrola. COBRA Risk Consultant sadrži četiti baze znanja:
• bazu informacijske sigurnosti;
Vrijednost resursa 0 1 2 3 4
Vjerojatnost ostvarenja
0 P P P P N
1 P P P N N
2 P P N N N
3 P N N N N
4 N N N N N
44
• bazu operativnog rizika,
• bazu rizika visoke razine,
• e-Security bazu koja obrađuje moderne mrežne sustave.
Slika 5.2 - Izbornik za odabir baze znanja
Alat sadrži i COBRA ISO17799 Consultant koji omogućuje praćenje usklađenost s ISO/IEC 17799 standardom i predlaže rješenja koja vode potpunoj usklađenosti sa standardom. Ispunjavanjem upitnika moguće je odrediti razinu usklađenosti s normom ISO/IEC 17799.
Slika 5.3 – Primjer upitnika za provjeru usklađenosti s ISO/IEC 17799 standardom
45
5.5.2 CRAMM Alat CRAMM oblikovan je u skladu s politikom Vlade Velike Britanije da se strategija izbjegavanja rizika zamijeni strategijom upravljanja rizikom. Početno je aplikacija CRAMM prvenstveno bila napravljena za procjenu rizika državnih sustava, ali je nadopunjena te se danas može upotrijebljavati u različitim tržišnim organizacijama. Alat CRAMM sadrži:
• alat za procjenu rizika koji je u potpunosti usklađen s ISO/IEC 17799 standardom,
• niz pomoćnih alata koji daju podršku za planiranje i upravljanje sigurnošću,
• čarobnjake koji omogućuju kreiranje sigurnosnih politika i ostale dokumentacije,
• alate koji podržavaju procese za upravljanje kontinuitetom poslovanja,
• bazu sa više od 3000 sigurnosnih kontrola,
• alate koji pomažu pri postizanju usklađenosti s ISO/IEC 17799 standardom.
CRAMM metoda procjene rizika uključuje tehničke, kao i netehničke (npr. fizička sigurnost) aspekte sigurnosti. Procjena rizika se obavlja u tri faze:
• identifikacija i vrednovanje resursa,
• procjena prijetnji i ranjivosti i
• odabir zaštitnih mjera i preporuka. 5.5.3 OCTAVE OCTAVE metoda u praksi se uvodi u organizacije tako da se osnivaju radionice u kojima radni timovi uvježbavaju postupke metode OCTAVE i na primjerima i stvarnim situacijama uče uvoditi metodu u svoju okolinu. Postupak se provodi u tri etape :
• odredivanje kriticne imovine i prijetnje toj imovini,
• odredivanje organizacijskih i tehnoloških ranjivosti i
• razvoj strategije zaštite i izbjegavanje rizika za podršku poslovanju.
OCTAVE metodologija upotrebljava informacijske kataloge kako bi se analizirale prijetnje, utvrdile prakse koje već postoje unutar organizacije i kako bi se izgradila strategija zaštite. Tri su tipa kataloga:
• katalog dobrih praksi – zbirka strategija i praksi za upravljanje informacijskom sigurnošću,
• generički profil prijetnji – kolekcija najčešćih izvora prijetnji i
• katalog ranjivosti - kolekcija ranjivosti koja ovisi o platformi i aplikaciji koja se promatra.
46
6 BS 7799-3:2006 Smjernice za upravljanje rizicima u informacijskoj sigurnosti Ovaj standard prvenstveno ima namjenu pružiti smjernice za upravljanje rizikom pri uspostavi sustava upravljanja sigurnošču informacija (ISMS-a). Usklađen je sa zahtjevima ISO/IEC 27001 standarda koji se odnose na proces upravljanja rizikom. Standard utemeljuje procesni pristup upravljanju rizikom, što znači da je potrebno: a) razumijevanje poslovnih sigurnosnih zahtjeva;
b) odabrati, implementirati i upravljati kontrolama kako bi se smanjio cjelokupni sigurnosni rizik poslovanja organizacije;
c) nadzirati performanse i učinkovitost sustava upravljanja sigurnošću informacija (ISMS-a);
d) kontinuirano poboljšavati sustav upravljanja sigurnošču informacija na temelju objektivnih mjerenja rizika.
Prema ISO/IEC 27001:2005 standardu potrebno je definirati sistematičan pristup i metodu za procjenu rizka. Također, prema istom standardu je potrebno:
• definirati kriterije za prihvaćanje rizika, • definirati prihvatljive razine rizika, • identificirati i procjeniti rizik, te • osigurati da pristup upravljanju rizikom obuhvati sve aspekte ISMS-a.
6.1 Procjena rizika Procjena sigurnosnog rizika uključuje analizu i evaluaciju rizika. Analiza rizika treba uključivati:
• identifikaciju resursa;
• identifikaciju zakonskih i poslovnih zahtjeva koji su relevantni za identificirani resurs;
• procjenu vrijednosti identificiranih resursa, uzimajući u obzir zakonske i poslovne zahtjeve i posljedice u slučaju gubitka povjerljivosti, integriteta i raspoloživosti;
• identifikaciju prijetnji i ranjivosti pojedinih resursa; i
• procjenu vjerojatnosti pojave prijetnji i ranjivosti. Evaluacija rizika treba uključivati:
• izračunavanje rizika; i
• evaluaciju rizika u odnosu na predefiniranu skalu rizika.
47
6.1.1 Identifikacija resursa Resurs je sve što ima bilo kakvu vrijednost za organizaciju, poslovne operacije ili njihov kontinuitet. Stoga je potrebno zaštititi resurse kako bi se omogućilo normalno odvijanje poslovnih operacija. Potrebno je sastaviti inventar svih resursa koji su unutar opsega ISMS-a, te procjeniti njihovu vrijednost. Ponekad je potrebno grupirati resurse kako bi se njima lakše upravljalo u procesu procjene rizika. Dodjeljuje se odgovornost za resurse jer se na taj način postiže lakše upravljanje sigurnošću resursa. Vlasnik resursa treba biti odgovoran za sigurnosnu klasifikaciju resursa i dodjeljivanja pristupnih prava resursu.
Tablica 6.1 - Kategorizacija resursa Kategorija Opis
Informacije Informacije predstavljaju najvažniji tip resursa koji je potrebno zaštititi bez obzira u kojem se obliku nalazi, npr. baze podataka, podatkovne datoteke, sustavske dokumentacije, ugovori, priručnici, smjernice, planovi kontinuiteta, obrazovni materijali i sl.
Procesi i usluge
Procesi i usluge uključuju poslovne procese, aplikacijske aktivnosti, operativne usluge, komunikacijske usluge i ostale usluge koje omogućuju procesiranje informacija, npr. grijanje, rasvjeta, struja i sl.
Programska oprema
Programska oprema uključuje aplikacijske programe, sustavske programe, razvojene alate, pomoćne aplikacije i sl.
Fizička oprema
Uključuje računala, komunikacijsku opremu, medije (papire, CD-ove, diskove), tehničku opremu (izvore napona, klimatizaciju) i sl.
Ljudi U ovu kategoriju spada osoblje, klijenti, korisnici usluga i svi ostali koji imaju bilo kakvu ulogu u pohrani i procesiranju informacija.
6.1.2 Identifikacija zakonskih i poslovnih zahtjeva Sigurnosni zahtjevi svake organizacije dolaze iz tri glavna izvora:
• prijetnje i ranjivosti koje mogu rezultirati velikim gubicima ako se realiziraju,
• zakonski i ugovorni zahtjevi,
• svi principi, ciljevi i zahtjevi organizacije na koje se oslanjaju poslovni procesi, a koji se odnose na informacijske sustave organizacije.
Prilikom procjene vrijednosti resursa potrebno je razmotriti ove zahtjeve i formulirati ih u skladu s zahtjevima povjerljivosti, integriteta i raspoloživosti. U sljedećoj tablici (Tablica 5.8) prikazani su neki od relevantnih zakona u Republici Hrvatskoj.
48
Tablica 6.2 - Relevantni zakoni u Republici Hrvatskoj Zakon Opis
Zakon o zaštiti osobnih podataka
Zakon o zaštiti osobnih podataka (NN 103/03) regulira način i uvjete obrade osobnih podataka, obrade posebnih kategorija osobnih podataka, obvezu informiranja ispitanika, povjeravanje poslova obrade osobnih podataka, iznošenje osobnih podataka iz RH, zaštitu rada ispitanika, obrade podataka u novinarske svrhe, te nadzor nad djelovanjem sustava obrade osobnih podataka.
Zakon o telekomunikacijama
Zakon o telekomunikacijama iz 2003. posebnu je pažnju javnosti privukao svojim odredbama iz članka 111. kojima je prvi put u hrvatski pravni sustav uveden pojam spam-a, odnosno neželjenih reklamnih poruka. Primijenjeno je rješenje već poznato iz poredbenog prava. Također, prema odredbama Zakona o izmjenama i dopunama zakona o telekomunikacijama (NN 70/05) i Pravilnika o osnovnim telekomunikacijskim uslugama (NN123/05) određeno je pravo na prigovor korisnika telekomunikacijskih usluga u slučajevima kada je prouzročena šteta uslijed zaraze računala malicioznim programima – dialerima.
Zakon o zaštiti tajnosti podataka
Zakon o zaštiti tajnosti podataka (NN 108/96) propisuje vrste i stupnjeve tajnosti te mjere i postupke za utvrđivanje, uporabu i zaštitu tajnosti podataka. Prema tom zakonu, podaci prema vrsti tajne mogu biti državna, vojna, službena, poslovna i profesionalna tajna, a prema stupnju tajnosti podaci mogu biti državna tajna, vrlo tajni, tajni i povjerljivi. Zakon ne definira sigurnosnu oznaku za neklasificirane podatke (neklasificirano) i jasnu oznaku za podatke koji se smiju objaviti (objavljivo). Zakon u slučaju državne, vojne i službene tajne ne utvrđuje nužnost provođenja postupka sigurnosne provjere i certificiranja osoblja.
Zakon o elektroničkom potpisu
Ovim se Zakonom uređuje pravo fizičkih i pravnih osoba na uporabu elektroničkog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama, te prava, obveze i odgovornosti fizičkih i pravnih osoba u svezi s davanjem usluga certificiranja elektroničkog potpisa, ako posebnim zakonom nije drukčije određeno.
Zakon o elektroničkoj trgovini
U prvom članku Zakona o elektroničkoj trgovini definirano je njegovo polje primjene koje se sastoji u uređenju pružanja usluga informacijskog društva, odgovornosti davatelja usluga, te pravilima u vezi sa sklapanjem ugovora u elektroničkom obliku. Posebno je važan članak 9. čijim odredbama je i u hrvatskom zakonodavstvu elektronička trgovina priznata kao legitiman oblik trgovine, ni po čemu manje vrijedna od ostalih (čl.9 st.3). Zakon je odredio obveze pružatelja Internet usluga i njihovih korisnika, pogotovo u pogledu privremene pohrane podataka (engl. cachinga), pohrane podataka i odgovornosti pružatelja Internet usluga u skladu s obvezama preuzetima u okviru Konvencije o kibernetičkom kriminalitetu.
6.1.3 Procjena vrijednosti resursa Glavni čimbenik u procjeni rizika je identifikacija i procjena vrijednosti resursa zasnovana na poslovnim potrebama organizacije. Kako bi se resursi prikladno zaštitili nužno je procjeniti njihovu vrijednost koaj ovisi o njihovoj važnosti za poslovni proces, ali treba uzeti u obzir i zakonske i poslovne zahtjeve, te posljedice (engl. impact), ukoliko dođe do gubitka povjerljivosti, raspoloživosti i integriteta. Jedan od načina da se izrazi vrijednost resursa je da se uzmu u obzir posljedice neželjenih incidenata, npr. modifikacija, uništenje, gubitak raspoloživosti, na poslovni proces. Ovakvi incidenti mogu dovesti do novčaniih gubitaka ili gubitka ugleda organizacije. Informacije o vrijednosti resursa mogu dati vlasnici resursa. Kako bi se prikladno procjenila vrijednost resursa, potrebno je definirati skalu vrijednosti.
49
6.1.4 Identifikacija prijetnji i ranjivosti Prije nego se počnu razmatrati prijetnje i ranjivosti, potrebno je razmotriti već postojeće kontrole kako bi se objektivno procjenile prijetnje i ranjivosti koje je potrebno uzeti u obzir. Resursi su podložni brojnim prijetnjama koje mogu uzrokovati neželjene incidente koji mogu naštetiti organizaciji. Prijetnje mogu nastati slučajnim događajem ili namjernom eksploatacijom neke od ranjivosti. Ranjivosti ne mogu naštetiti organizaciji, ali predstavljaju stanje ili skup stanja koje prijetnjama omogućuju iskorištavanje tih ranjivosti. Identifikacija ranjivosti treba uzeti u obzir slabosti resursa koje potječu iz:
• fizičkog okruženja resursa,
• administrativnih procedura i kontrola, uprave i osoblja koji njima raspolažu,
• poslovnih operacija,
• sklopovske, programske i komunikacijske opreme. 6.1.5 Vrednovanje prijetnji i ranjivosti Nakon što se identificiraju resursi, potrebno je procjeniti vjerojatnost njihove pojave koja može prouzrokovati rizik. Procjenjuje se vjerojatnost pojave prijetnje i lakoće iskorištavanja ranjivosti. Procjena vjerojatnosti prijetnje treba uzeti u obzir sljedeće.
• Namjerne prijetnje.
Vjerojatnost pojave namjernih prijetnji ovisi o motivaciji, znanju i raspoloživim resursima napadača.
• Slučajne prijetnje.
Vjerojatnost pojave slučajnih prijetnji se može procjeniti statistikom i iskustvom.
• Prethodni incidenti.
• Trendovi.
Potrebno je pratiti novinske grupe, vijesti i izvještaje koji mogu pomoći pri procjeni situacije.
U sljedećim tablicama (Tablica 6.3 i Tablica 6.4) mogu se vidjeti primjeri vrednovanja prijetnji i ranjivosti.
50
Tablica 6.3 - Vrijednosna skala prijetnji Vrijednost Opis Mala vjerojatnost (engl. low likelihood)
Nije vjerojatno da će se pojaviti prijetnja, tj. nije bilo prethodnih incidenata, statistike pokazuju da se prijetnja neće pojaviti, nedostaje motivacija za prijetnju i sl.
Srednja vjerojatnost (engl. medium likelihood)
Postoji vjerojatnost da će se pojaviti prijetnja. Bilo je incidenata u prošlosti, a istraživanja pokazuju da postoje razlozi koji motiviraju napadača.
Velika vjerojatnost (engl. high likelihood)
Očekuje se pojava prijetnje. Snažna je motivacija napadača, incidenti su bili učestali u prošlosti, a statistike potvrđuju veliku vjeropjatnost pojave prijetnje.
Tablica 6.4 - Vrijednosna skala ranjivosti Vrijednost Opis Malo vjerojatno (engl. unlikely)
Malo je vjerojatno da će se ranjivost eksploatirati. Postojeća zaštita je primjerena.
Moguće (engl. possible) Moguća je eksploatacija ranjivosti, ali postoji zaštita. Jako vjerojatno (engl. highly probable)
Lako je eksploatirati ranjivost jer ne postoji nikakva ili neprikladna zaštita.
6.1.6 Izračunavanje i evaluacija rizika Rizik se izračunava kao kombinacija vrijednosti resursa, koja izražava posljedice gubitka povjerljivosti, integriteta i raspoloživosti, i vjerojatnosti pojave prijetnji povezanih s odgovarajućim ranjivostima. Organizacija mora odabrati metodu za procjenu rizika koja je najprikladnija njihovim poslovnim procesima i sigurnosnim zahtjevima. Izračunate razine rizika omogućuju rangiranje rizika i identifikaciju rizika koji su organizaciji najproblematičniji. Postoje različiti načini za povezivanje vrijednosti resursa i vrijednosti dodjeljnih prijetnjama i ranjivostima kako bi se dobila mjera rizika. Rizik se sastoji od dva faktora:
• posljedica iskorištavanja ranjivosti i • vjerojatnost pojave prijetnje, odnosno iskorištavanja ranjivosti.
Posljedica iskorištavanja ranjivosti je faktor koji se temelji na vrijednosti resursa. Taj faktor se može izvesi iz vrijednosti resursa na različite načine, međutim taj postupak mora biti konzistentan kroz cijeli opseg ISMS-a. Npr.
• možemo izdvojiti rizike povjerljivosti, integriteta i raspoloživosti uzimajući vrijednost resursa za vrijednost posljedice (engl. impact value), razmatrajući tri različita rizika za svaki resurs.
• možemo kombinirati vrijednosti resursa zbrajanjem svih vrijednosti ili uzimajući maksimalnu vrijednost.
51
Faktor vjerojatnosti rizika temelji se na prijetnjama i ranjivostima i njima dodjeljenim vrijednostima. Vrijednosti prijetnji i ranjivosti se mogu upotrijebiti na različite načine, npr.
• zbrajanje ili množenje iznosa prijetnje i iznosa ranjivosti, te upotreba kombinirane vrijednosti;
• odvojena upotreba iznosa prijetnje i iznosa ranjivosti.
Na koji način će se kombinirati faktor vjerojatnosti i faktor posljedice ovisi o metodologiji procjene rizika. Nužno je jedino da razina rizika raste s porastom bilo kojeg od faktora. Sljedeći korak evaluacije rizika je usporediti izračunate razine rizika s razinama definiranim pri odabiru metode procjene rizika. Razina rizika se izražava u ovisnosti o prouzrokovanom gubitku poslovanja i duljini vremena oporavka.. Potrebno je definirati i prihvatljive razine rizika. Rizici tih razina uzrokuju malu štetu organizaciji i ne mogu ozbiljno naškoditi poslovanju i njih nije potrebno obrađivati. Svi ostali rizici zahtjevaju obradu.
6.2 Obrada rizika i donošenje odluka Rizikom se upravlja kombiniranjem preventivnih i detekcijskih kontrola, taktikom izbjegavanja i prihvaćanja ili prenošenjem rizika na druge organizacije (npr. osiguravajuće kuće). 6.2.1 Donošenje odluka Nakon što se procjeni rizik potrebno je donijeti odluku kako će se rizik obraditi. Poslovne okolnosti diktiraju kakva će se odluka donijeti. Dva glavna faktora koji utječu na donošenje odluke su:
• moguće posljedice ukoliko se rizik realizira, npr. financijski gubitak svake realizacije rizika;
• očekivana frekvencija pojave rizika. Ovi faktori indiciraju koliki gubitak se može očekivati ako se ne poduzmu nikakve mjere za umanjivanje rizika. Rizike informacijske sigurnosti je teško kvalificirati u smislu vjerojatnosti pojave. Stoga je potrebno pažljivo prosuditi točnost i pouzdanost podataka na osnovu kojih se donosi odluka. Osim što je potrebno uzeti u obzir procjenjene gubitke u slučaju pojave rizika, potrebno je razmotriti i trošak mjera zaštite od rizika. Dodatni faktori koji mogu utjecati na proces donošenja odluka su:
• spremnost za prihvaćanje rizika, poznatu i kao toleranciju na rizik;
• jednostavnost/složenost implementacije kontrola;
• raspoloživi resursi;
• trenutni poslovni/tehnološki prioriteti;
• organizacijska politika.
52
6.2.2 Umanjivanje rizika Umanjivanje rizika znači implementaciju kontrola za smanjenje rizika na prihvatljivu razinu. Kontrole mogu reducirati rizik na različite načine, npr.
• umanjivanje vjerojatnosti eksploatacije ranjivosti;
• umanjivajne posljedica ukoliko se rizik ipak pojavi (detekcija neželjenih događaja, reakcija na rizik, oporavak od rizika).
Ne postoji univerzalan način odabira kontrola za redukciju rizika. Proces odabira kontrola uključuje brojne decizijske korake, konzultacije, razgovore s osobljem uključenim u različite poslovne aktivnosti, poslovne analize i sl. Kontrole se mogu izabrati iz norme ISO/IEC 17799:2005 ili iz dodatka A norme ISO/IEC 27001:2005. Jako je važno dokumentirati odabrane kontrole i kontrolne ciljeve koje one ispunjavaju. Prilikom odabira kontrola bitni su još neki faktori:
• lakoća uporabe kontrola;
• pouzdanost kontola;
• relativna snaga kontrola;
• tipovi funkcija koje kontrole obavljaju (npr. prevencija, detekcija, oporavak, zastrašivanje, nadzor i sl.).
6.2.3 Svjesno i objektivno prihvaćanje rizika
Vrlo je vjerojatno da će neki rizici biti prihvaćeni. Razlog tome može biti nepostojanje prikladnih kontrola ili je trošak implementacije kontrola veći od potencijalnog gubitaka koji se javlja pojavom rizika. U tim slučajevim donosi se odluka o prihvaćanju rizika koju je potrebno dokumentirati kako bi uprava bila svjesna pozicije u kojoj se organizacija nalazi. 6.2.4 Prenošenje rizika Prenošenje rizika je opcija koja se uzima u obzir kad je teško reducirati rizik na prihvatljivu razinu ili kad je isplativije prenijeti rizik na treću stranu. Postoji više mehanizama za prenošenje rizika, npr. upotreba osiguranja. Ali i uz upotrebu osiguranja postoji rezidualni rizik jer postoje uvjeti pojave rizika za koje osiguravajuća kuća ne pruža naknadu. 6.2.5 Izbjegavanje rizika Izbjegavanje rizika je svaka akcija pri kojoj se mjenjaju poslovne aktivnosti kako bi se izbjegla pojava nekog rizika. Na primjer, izbjegavanje rizika se može postići:
53
• ako se ne provedu neke poslovne aktivnosti (npr. elektoničko poslovanje);
• premještanjem resursa na područja izvan rizičnih područja (npr. ne pohranjivati osjetljive podatke na organizacijski intranet);
• izbjegavanjem procesiranja osjetljivih informacija. Izbjegavanje rizika je potrebno uskladiti s poslovnim i financijskim potrebama organizacije. Npr. možda je nužno koristiti pogodnosti elektroničke trgovine zbog poslovnih zahtjeva ogranizacije, unatoč svim rizicima. 6.2.6 Rezidualni rizik Nakon što se primjene mjere za smanjenje i obradu rizika, uvijek preostaje određena mjera rizika, koji se naziva rezidualnim rizik. Potrebno je procjeniti koliko su odluke za tretiranje rizika uspješne u smanjenju rizika i koliki je rezidualni rizik. Ako je rezidualni rizik neprihvatljiv tada je potrebno donijeti poslovne odluke o riješavanju te situacije. Neke od mogućnosti su definirati drukčije načine tretiranja rizika, primjeniti dodatne kontrole, sklopiti ugovore s osiguravajućim kućama i sl. Iako nije poželjno tolerirati visoku razinu rezidualnog rizika, ponekad financijski uvjeti ne dopuštaju smanjenje rizika na željenu razinu.
54
7 Sustav upravljanja sigurnošću informacija Sustav upravljanja sigurnošću informacija (ISMS) je uspostavljen za proces besplatne procjene sigurnosti Web aplikacija na zahtjev Tvrtke X. Tvrtka X je mlada tvrtka osnovana 2005. godine, specijalizirana za usluge vezane uz sigurnost informacijskih sustava. Područje njihove djelatnosti se može podijeliti na:
• izgradnju upravljačkih sustava informacijske sigurnosti i
• tehnička ispitivanja sigurnosti.
Pored navedenih usluga, Tvrtka X se bavi i edukacijom o informacijskoj sigurnosti, pruža usluge konzaltinga i održavanja informacijske sigurnosti. Tvrtka X ima 5 zaposlenika, redom stručnjaka na području informacijske sigurnosti. Proces izgradnje sustava upravljanja sigurnošću informacija se sastojao od sljedećih koraka:
1) Proučavanje poslovnog procesa.
2) Uspostava sustava upravljanja sigurnošću informacija prema standardu ISO/IEC 27001.
Norma ISO/IEC 27001 nakon uspostave ISMS-a zahtjeva i njegovu implementaciju, nadzor i reviziju sustava, te održavanje i poboljšavanje sustava upravljanja sigurnošću informacija. Tvrtka X je tražila isključivo uslugu uspostave ISMS-a. Ostale aktivnosti potrebne za usklađivanje sa standardom i certifikaciju, Tvrtka X će provesti sama. Gledajući u odnosu na PDCA model uspostave sustava upravljanja, provedena je "Plan" faza. Ostale faze PDCA ciklusa će izvesti Tvrtka X.
Slika 7.1 – Prikaz izvedenih koraka PDCA ciklusa
55
7.1. Proučavanje poslovnog procesa Kako bi se mogli identificirati ključni resursi u procesu besplatne procjene sigurnosti Web aplikacija, obavljen je niz razgovora s vlasnicima procesa. Pod pojmom "vlasnik" podrazumijeva se osoba kojoj je poslovodstvo dodijelilo odgovornost za izvođenje, kontrolu i održavanje procesa besplatne procjene sigurnosti Web aplikacija. Vlasnici ovog procesa su:
• voditelj i
• tehničar. Voditelj je konzulatant za informacijsku sigurnost koji rukovodi obavljanjem procesa. Tehničar je ekspert za računalnu sigurnost koji obavlja testiranja Web aplikacija klijenta. U nizu razgovora s Voditeljem i Tehničarom postavljena su brojna pitanja o procesu. Identificirane su sve aktivnosti unutar procesa. Proces identifikacije aktivnosti olakšava identifikaciju resursa u procesu. Izrađen je dijagram poslovnog procesa koji dodatno olakšava razumijevanje procesa. Detektirane su sve uloge u procesu. Pod pojmom "uloga" podrazumijeva se osoba koja obavlja neku aktivnost u procesu. Nakon što je napravljen izvještaj o procesu, pristupilo se uspostavi sustava upravljanja prema ISO/IEC 27001. Izvještaj nije zahtjev standarda, ali služi kao dokaz poslovodstvu da su uključeni svi resursi nužni za proces. Izvještaj o procesu nalazi se u Dodatku A.
7.2 Uspostava sustava upravljanja sigurnošću informacija 7.2.1 Definiranje opsega ISMS-a Prema normi ISO/IEC 27001, prvi korak u uspostavi sustava upravljanja sigurnošću informacija je definiranje opsega i granica ISMS-a. Opseg ovisi o karakteristikama poslovanja, organizaciji, njezinoj lokaciji, resursima i tehnologijama koje se upotrebljavaju. Navedene su neke smjernice za definiranje opsega.
• Dobro je napraviti slikovni prilaz ili dijagram organizacije kako bi se lakše definirao opseg.
• Nužno je producirati dokument s opisom opsega. Dokument treba odgovarati slikovnom prikazu.
• Dobro je napraviti popis sklopovske i programske opreme koja je uključena u opseg.
• Ukoliko postoji složena mrežna infrastruktura koja ja dio opsega, preporuča se izraditi mrežni dijagram. Primjer se nalazi na sljedećoj slici.
56
Slika 7.2 – Primjer mrežnog dijagrama
Dokument koji opisuje opseg i granice sustava upravljanja sigurnošću informacija nalazi se u Dodatku B. 7.2.2 Definiranje sigurnosne politike Sigurnosna politika ovisi o karakteristikama poslovanja, organizaciji, lokaciji, resursima i korištenoj tehnologiji. Bitne pretpostavke sigurnosne politke :
• sigurnosna politika treba sadržavati definiciju informacijske sigurnosti;
• sigurnosna politika pruža okvir za postavljanje ciljeva, te uspostavlja smjernice i principe za sve akcije koje se odnose na informacijsku sigurnost;
• sigurnosna politika treba uzeti u obzir poslovne, zakonske i ugovorne sigurnosne zahtjeve;
• sigurnosna politika treba biti usklađena sa strategijom upravljanja rizikom;
• sigurnosna politika treba utemeljiti kriterije za evaluaciju rizika;
• sigurnosna politika se treba referencirati na sve politike i procedure važne za uspostavljanje informacijske sigurnosti;
• sigurnosna politika mora biti odobrena od strane poslovodstva.
57
Norma ISO/IEC 27001 preporuča da sigurnosna politika bude kratak dokument koji će se prenijeti svim članovima organizacije. Upravo zbog toga, dokument sigurnosne politike treba biti sažet, jasan, jednostavan za implementaciju, primjenjiv i provediv. ISMS sigurnosna politika predstavlja krovni dokument u odnosu na sve ostale politike, standarde, smjernice i procedure. Dokument se treba referencirati na sve adekvatne politike, standarde, procedure i smjernice.
Taj odnos je prikazan na sljedećem dijagramu (Slika 7.3 ).
Slika 7.3 – Značaj ISMS politike
Krovni dokument sigurnosne politike Tvrtke X se nalazi u Dodatku C. Bitno je spomenuti da dokument koji se nalazi u dodatku predstavlja samo okvir za pisanje sigurnosne politike. 7.2.3 Definiranje metodologije za upravljanje rizikom Prema normi ISO/IEC 27001 potrebno je definirati metodologiju procjene rizika koja će:
• biti u skladu s ISMS-om i identificiranim poslovnim, zakonskim i regulatornim zahtjevima.
• utemeljiti kriterije za prihvaćanje rizika i odrediti prihvatljivu razinu rizika. Postoje brojne metode za procjenu rizika. Dobro je odabrati metodu koja daje ponovljive rezultate. Moguće je odabrati neku od metoda koju nude komercijalno raspoloživi alati. Pri tome je važno paziti da je alat ispravno instaliran i konfiguriran. Pri odabiru metodologije za procjenu rizika potrebno je utemeljiti skalu za vrednovanje rizika. Skala može biti kvantificirana na različite načine. Dobro je da skala ima barem četiri vrijednosti: niska, srednja, visoka i vrlo visoka. Ukoliko postoje samo tri vrijednosti, npr. niska, srednja i visoka, postoji opasnost da većini resursa bude dodjeljena srednja vrijednost, a tako se gubi na točnosti rezultata procjene. Isto vrijedi kod skale za vrednovanje prijetnji i ranjivosti. Metodologija za upravljanje rizikom je definirana u Dodatku D.
58
7.2.4 Procjena rizika Procjena rizika započinje s identifikacijom resursa koji su u sklopu opsega ISMS-a. Svaki resurs ima svog vlasnika. Resuri su podjeljeni po kategorijama:
• sklopovska oprema - uključuje poslužitelje, vatrozide, osobna računala, prijenosna računala, mrežnu opremu, perifernu računalnu opremu i sl.;
• programska oprema – uključuje aplikacije, operacijske sustave, sustavske pomoćne programe, sigurnosne zakrpe i sl.;
• podaci i dokumenti – uključuje informacije u bilo kojem obliku, npr. pisanom, elektroničkom, u obliku video zapisa i sl.;
• ljudski resursi – uključuje sve zaposlenike koji na bilo koji način sudjeluju u procesu;
• komunikacije – uključuje sve vrste komunikacija, npr. telefonska komunikacija, komunikacija elektroničkom poštom, Internet;
• općenito – u ovu kategoriju spadaju resursi koji se nisu mogli svrstati u neku od prethodnih kategorija, npr. vanjski partneri.
Nakon što su resuri identificirani, potrebno je izvršiti vrednovanje resursa u odnosu na tri sigurnosna zahtjeva:
• povjerljivost (engl. confidentiality, C),
• integritet (engl. integrity, I),
• raspoloživost (engl. availability, A). Skala za vrednovanje resursa sadrži četiri vrijednosti:
• niska (engl. low, L),
• srednja (engl. medium, M),
• visoka (engl. high, H) i
• vrlo visoka (engl. very high, VH). Ukupna vrijednost resursa se računa tako da se uzme maksimalna vrijednost resursa u odnosu na tri sigurnosna zahtjeva. U tablici 7.1 nalazi se primjer vrednovanja resursa.
59
Tablica 7.1 - Primjer identifikacije i vrednovanja resursa
Kategorija Naziv resursa Vlasnik C I A Max (C, I, A )
Software Sigurnosne zakrpe Tvrtka X L H M H
Podaci/Dokumenti Web forma Tvrtka X L H H H
Podaci/Dokumenti
E-mail sa zahtjevom klijenta
Voditelj M H M H
Nakon identifikacije resursa slijedi identifikacija prijetnji i ranjivosti za svaki pojedini resurs. Pri razmatranju prijetnji potrebno je imati na umu sve tipove prijetnji:
• maliciozne,
• nenamjerne ili
• fizičke. Nedostatak procedura i politika koje definiraju prihvatljivo postupanje s resursima predstavljaju izvore ranjivosti. Svaki resurs koji ima neku ranjivost posjeduje i barem jednu prijetnju koja može iskoristiti tu ranjivost. U sljedećoj tablici nalazi se primjer ranjivosti na kategoriju resursa koja obuhvaća programsku opremu. Također, u tablici je dana po jedna prijetnja koja može iskoristiti tu ranjivost.
Tablica 7.2 – Primjer ranjivosti i pripadnih prijetnji
Ranjivost Prijetnja Nema specifikacije za razvoj aplikacije Ostavljanje pozadinskih vrata Aplikacija nije testirana Degradacija aplikacije Nema dokumentacije Otežano korištenje aplikacije Neprikladna zaštita izvornog koda Krađa izvornog koda Neprimjena kontrola pristupa Maskiranje Nedostatak zaštite od malicioznog softvera Maliciozni programi (virusi, trojanski konji)
Nakon identificiranja prijetnji i ranjivosti, procjenjuje se vjerojatnost ostvarenja prijetnje (engl. Threat probability, P(T)) i posljedice ostvarenja prijetnje (engl. Threat impac , I(T)). Skala za vrednovanje vjerojatnosti ostvarenja prijetnje i posljedica ostvarenja prijetnje je ista kao kod određivanja vrijednosti resursa: niska (engl. low, L), srednja (engl. medium, M), visoka (engl. high, H) i vrlo visoka (engl. very high, VH). Kvantifikacija vrijednosti prikazana je u sljedećoj tablici (Tablica 7.3).
60
Tablica 7.3 – Kvantifikacija razina
Razina Vrijednost
L 1
M 2
H 3
VH 4
Konačno, izvodi se procjena rizika. Prema utvrđenoj metodologiji za procjenu rizika , rizik se računa kao umnožak vrijednosti resursa (engl. Asset value, AV), vjerojatnosti prijetnje i posljedicama ostvarenja prijetnje. Tj. R = AV * P(T) * I(T). U sljedećoj tablici (Tablica 7.4) nalazi se primjer za procjenu rizika.
Tablica 7.4 – Primjer procjene rizika
Završni izvještaj, AV = VH Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Podaci nisu validirani Netočni podaci H VH 48
Neprimjerena klasifikacija Neautorizirano postupanje s resursom
H VH 48
Nema sigurnosne kopije Gubitak podataka M M 16
Nema "clean desk" politike Otkrivanje povjerljivh podataka o klijentu
H VH 48
Prema metodologiji za procjenu rizika kontrole se primjenjuju za one rizike koji su procijenjeni kao visoki i vrlo visok, tj. za sve rizike čija vrijednost je iznad 16. U navedenoj tablici svi rizici zahtjevaju primjenu kontrola za njihovo smanjenje. Izvještaj o procjeni rizika nalazi se u Dodatku E. 7.2.5 Izjava o primjenjivosti Izjava o primjenjivosti (engl. Statement of Applicability, SoA) treba sadržavati:
• kontrolne ciljeve, kontrole i razlog njihovog odabira,
• kontrolne ciljeve i kontrole koje su već implementirane,
• sve kontrolne ciljeve i kontrole koje su isključene, te razlog za njihovo isključenje. Prema rezultatim o procjeni rizika obavlja se odabir kontrola. U Izjavi o primjenjivosti se obrazlaže razlog za implementaciju, kao i razlog za izostavljanje kontrole. U sljedećoj tablici (Tablica 7.5) nalazi se primjer iz Izjave o primjenjivosti.
61
Tablica 7.5 – Primjer kontrola sadržanih u Izjavi o primjenjivosti
Referenca ISO/IEC 27001 kontrola Primjenjena? Izjava o primjenjivosti A.11.4 Kontrola pristupa mreži
A.11.4.1 Politika uporabe mrežnih usluga DA Postoji neformalana politika korištenja mrežnih usluga (prvenstveno Interneta).
A.11.4.2 Autentifikacija za vanjske konekcije
DA Potrebna je autentifikaicija prije spajanja na Web server i e-mail server.
A.11.4.3 Identifikacija opreme u mreži NE Ne postoji uvjet spajanja s određene lokacije.
A.11.4.4 Zaštita dijagnostičkih i konfiguracijskih portova
DA Kontrolira se pristup dijagnostičkim i konfiguracijskim portovima.
A.11.4.5 Segregacija u mrežama NE Nema potrebe za segregacijom mreže.
A.11.4.6 Kontrola mrežnog povezivanja DA Kontroliraju se mrežne konekcije u skladu s politikom kontrole pristupa.
Izjava o primjenjivosti se nalazi u Dodatku F.
62
8 Zaključak Ukoliko je informacijski sustav organizacije od neposredne važnosti za uspješnost i kontinuiranost njenog poslovanja, nužno je uspostaviti sustav upravljanja sigurnošću informacija. Istovremeno, organizacije moraju biti svjesne činjenice da je uvijek prisutna određena razina nesigurnosti, što zahtjeva spremnost i sposobnost organizacije da se u svakom trenutku suoči s najnovijim sigurnosnim prijetnjama i na vrijeme reagira na eventualne sigurnosne incidente. Cilj takve orijentacije organizacije je osiguranje neprekinutosti poslovanja i maksimalna zaštita informacijskih i svih poslovnih resursa. Implementacija sustava upravljanja sigurnošću informacija predstavlja provedbu potrebnih mjera za postizanje zadovoljavajuće razine informacijske sigurnosti unutar organizacije, čineći tako bitan faktor u prepoznavanju organizacije kao pouzdanog i modernog poslovnog partnera. U ovom radu je na primjeru jednog stvarnog procesa prikazan način uspostave sustava upravljanja sigurnošću informacija prema normi ISO/IEC 27001. Odabrane sigurnosne kontrole su iz norme ISO/IEC 17799, a postupak analize rizika je proveden prema preporuci norme BS 7799-3. Budući su sve navedene norme međusobno kompatibilne, ostvaren je jedan cjelovit pristup izgradnji sustava upravljanja sigurnošću informacija.
63
9 Literatura [1] International standard ISO/IEC 17799:2005; Information technology — Security techniques — Code of practice for information security management
[2] International standard ISO/IEC 27001:2005; Information technology — Security techniques — Information security management systems – Requirements
[3] Technical report ISO/IEC TR 13335-3; Information technology – Guidelines for the management of IT Security – Part 3: Techniques for the management of IT Security
[4] BS 7799-3:2006 Information security management systems. Guidelines for information security risk management
[5] Gary Stoneburner, Alice Goguen, Alexis Feringa - "Risk Management Guide for Information Technology Systems", NIST, July 2002.
[6] Hrvoje Šegudovic - "Prednosti i nedostaci metoda za kvalitativnu analizu rizika", MIPRO 2006. Opatija, p.p. 223-228, 2006.
[7] Paul Harmon - "Business Process Change, A Manager's Guide to Improving, Redesigning and Automating Processes", MK, 2003.
[8] Središnji državni ured za e-Hrvatsku, Stručna skupina za informacijsku sigurnost - "Nacionalni program informacijske sigurnosti", Zagreb, ožujak 2005.
[9] Zakon o zaštiti osobnih podataka NN 106/2003, dostupno na Internet adresi: http://www.nn.hr/clanci/sluzbeno/2003/1364.htm
[10] Zakon o elektroničkoj trgovini NN 173/2003, dostupno na Internet adresi: http://www.nn.hr/clanci/sluzbeno/2003/2504.htm
[11] Zakon o telekomunikacijama NN 122/2003, dostupno na Internet adresi: http://www.nn.hr/clanci/sluzbeno/2003/1731.htm
[12] Zakon o elektroničkom potpisu NN 10/2002, dostupno na Internet adresi: http://www.nn.hr/clanci/sluzbeno/2002/0242.htm
[13] Department of Commerce, Office of Information and Communications Technology -Information Security Guideline for NSW Government – Part 1 Information Security Risk Management
[14] Doc.dr.sc. Nikola Hadjina - "Zaštita i sigurnost informacijskih sustava", nastavni materijal sa zbirkom zadataka
[15] Hal Tipton and Micki Krause, Consulting Editors - "Handbook of Information Security Management", CRC Press LLC. 1998.
[16] Upravljanje sigurnošcu informacijskih sustava prema BS7799 standardu, dostupno na Internet adresi: http://www.cert.hr/documents.php?lang=hr&page=12
[17] Upravljanje sigurnošcu informacijskih sustava, dostupno na Internet adresi: http://www.cert.hr/documents.php?lang=hr&page=12
[18] Upravljanje sigurnosnim rizicima, dostupno na Internet adresi: http://www.cert.hr/documents.php?lang=hr&page=12
[19] Tablica sigurnosnih prijetnji, dostupno na Internet adresi: http://www.caci.com/business/ia/threats.html#Malicious%20Threats
64
[20] Christopher Alberts, Audrey Dorofee, James Stevens, Carol Woody - "Introduction to the OCTAVE® Approach", August 2003
[21] ISO 17799 Implementation portal, dostupno na Internet adresi: http://17799.denialinfo.com/
[22] ISO 17799 Made Easy, dostupno na Internet adresi: http://17799.macassistant.com/
[23] ISO 27001 Security, dostupno na Internet adresi: http://www.iso27001security.com/
[24] ISO 17799 Central: BS7799, ISO27001 and ISO17799, dostupno na Internet adresi: http://www.17799central.com/
[25] How 27000 Works, dostupno na Internet adresi: http://www.gammassl.co.uk/bs7799/works.html
[26] ISO 17799 Directory, dostupno na Internet adresi: http://www.iso-17799.com/
65
Dodatak A
Izvještaj o procesu Naziv procesa Besplatna procjena sigurnosti Web aplikacija. Svrha i namjena procesa
Besplatna procjena sigurnosti Web aplikacija je proces kojim Tvrtka X svojim klijentima pruža brzu i pouzdanu procjenu sigurnosti Web aplikacija. Klijenti na ovaj način mogu donijeti zaključak o opravdanosti izvođenja kompletnog penetracijskog testiranja i provjeriti efikasnost postojećih sigurnosnih kontrola.
Tvrtka X pruža uslugu besplatne procjene sigurnosti Web aplikacija kako bi izgradili i učvrstili odnose s klijentima i poslovnim partnerima, te privukli i zadržali klijente.
Relevantna zakonska regulativa
• Zakon o zaštiti osobnih podataka, koji je donio Hrvatski sabor na sjednici 12. lipnja 2003.
• Zakon o zaštiti tajnosti podataka, koji je donio Hrvatski sabor na sjednici 13. prosinca 1996.
Ugovorni odnosi
Na Web stranici www.tvrtkaX.hr/besplatna_procjena_sigurnosti, klijent putem disclaimera prihvaća uvjete korištenja usluge. Sigurnosni zahtjevi Aspekt Izlazni podaci/rezultati Povjerljivost Potrebno je osigurati povjerljivost izvješća s rezultatima testiranja, te tajnost
podataka o korisnicima usluge, uključujući osobne podatke o klijentima i podatke o otkrivenim ranjivostima njihovih Web aplikacija.
Integritet Svaka razmjena informacija izmjenju Tvrtke X i klijenta mora biti cjelovita, tj. mora se spriječiti neovlaštena izmjena podataka koji se razmjenjuju. Tvrtka X također mora osigurati integritet završnog izvješća.
Raspoloživost Potrebno je poštivati dogovorene rokove obavljanja usluge i dostavljanja izvješća. Poželjno je da Tvrtka X omogući stalnu raspoloživost Web stranice s pristupnom formom.
66
Uloge Uloga Opis Voditelj Konzulatant za informacijsku sigurnost zaprima i obrađuje zahtjev klijenta,
provjerava točnost podataka i verificira zahtjev, ugovara termin testiranja, te rezultate testiranja šalje klijentu.
Tehničar Tehničar obavlja automatizirano testiranje Web aplikacije, ručno provjerava ranjivosti ukoliko je to potrebno, te sudjeluje u izradi izvještaja klijentu.
Klijent Klijent podnosi zahtjev za besplatno testiranje Web aplikacije. Revizor Revizor provjerava i verificira rezultate testiranje prije slanja izvještaja klijentu.
Ulazni kriteriji Kriterij Inicira Ulazni
podaci Komentar
Zahtjev klijenta Klijent Web forma
Uobičajeno je da zahtjev klijenta bude zaprimljen preko Web forme. Međutim, moguće je da klijent uputi zahtjev telefonskim pozivom ili elektroničkom poštom. U tom slučaju klijent se upućuje na Web formu.
Izlazni kriteriji Kriterij Inicira Izlazni
podaci Validacija i verifikacija
Dostava izvještaja
Voditelj Izvještaj, e-mail
Revizor provjerava izvještaj prije nego što se dostavi klijentu.
67
Tablica aktivnosti Aktivnost Izvodi Opis Zahtjev klijenta
Klijent Klijent podnosi zahtjev za besplatno testiranje Web aplikacije. Na stranici www.tvrtkaX.hr/besplatna_procjena_sigurnosti unosi svoje osobne podatke i podatke o tvrtki koja podnosi zahtjev. Ukoliko klijent telefonski ili elektroničkom poštom zatraži ovu uslugu, upućuje ga se na navedenu Web stranicu.
Obrada zahtjeva
Voditelj Analiziraju se i validiraju podaci navedeni u zahtjevu kako bi se utvrdila valjanost zahtjeva.
Ugovaranje termina testiranja
Voditelj Provjerava se identitet klijenta, dogovara se termin testiranja i utvrđuju se tehnički zahtjevi postupka testiranja.
Slanje e-maila klijentu
Voditelj Šalje se e-mail klijentu kako bi se još jednom potvrdili dogovoreni termin i uvjeti testiranja.
Odgovor klijenta
Klijent Klijent iskazuje suglasnost s dogovorenim uvjetima.
Izdavanje zahtjeva za testiranje
Voditelj Voditelj proslijeđuje zahtjev tehničaru putem ticketing sustava.
Automatizirano testiranje
Tehničar Tehničar pokreće aplikaciju za testiranje sigurnosti Web aplikacija.
Verifikacija rezultata
Tehničar Obavlja se provjera rezultata automatskog testiranja.
Ručne provjere Tehničar Tehničar nastavlja testiranje sigurnosti Web aplikacije ručnim provjerama i ispituje točnost dobivenih rezultata.
Izrada izvještaja
Voditelj i tehničar
Sastavlja se izvještaj o rezultatima testiranja i navode se otkrivene ranjivosti ukoliko se pokazalo da je aplikacija ranjiva.
Verifikacija izvještaja
Revizor Verificiraju se rezultati i provjerava se izvještaj namijenjen klijentu.
Slanje izvještaja klijentu
Voditelj Validirani rezultati testiranja se šalju klijentu.
68
69
Dodatak B
Opseg i granice sustava upravljanja sigurnošću informacija 1 Karakteristike organizacije Tvrtka X d.o.o je specijalizirana za usluge vezane uz sigurnost informacijskih sustava. Glavne usluge koje Tvrtka X pruža su:
• upravljanje informacijskom sigurnošću, • ispitivanje sigurnosti, • održavanje sigurnosti, • obrazovanje na području informacijske sigurnosti i • konzalting na području informacijske sigurnosti.
2 Opseg ISMS-a Sustav upravljanja informacijskom sigurnošću (ISMS) će se uspostaviti za proces besplatne procjene sigurnosti Web aplikacija. Sustav upravljanja će uključiti svu programsku, sklopovsku i komunikacijsku opremu potrebnu za odvijanje tog poslovnog procesa, kao i sve ljudske resurse uključene u proces besplatne procjene sigurnosti Web aplikacija. Vanjski partneri koji pružaju usluge relevantne za ovaj proces će biti uključeni u sustav upravljanja.
70
Dodatak C
Sigurnosna politika 1 Cilj Sigurnosna politika utemeljuje sigurnosne zahtjeve informacijskog sustava i svrha joj je omogućiti što bolju zaštitu informacijskog sustava. Informacijski sustav je svaki sustav kojim se prikupljaju, pohranjuju, čuvaju, obrađuju, prikazuju, dohvaćaju i isporučuju informacije tako da budu dostupne i upotrebljive za svakoga tko ima pravo njima se koristiti. 2 Opseg Sigurnosna politika se odnosi na cjelokupni sustav informacijske sigurnosti. Sustav informacijske sigurnosti obuhvaća ljude, procese, organizaciju i tehnologiju. 3 Politika
� Sigurnosni zahtjevi koje Tvrtka X nastoji osigurati:
• povjerljivost– osiguranje da je informacija dostupna samo onima koji imaju ovlašteni pristup istoj, • integritet – zaštita postojanja, točnosti i kompletnosti informacije kao i procesnih metoda, • raspoloživost – osiguranje da autorizirani korisnici imaju mogućnost pristupa informaciji i pripadajućim sredstvima kada se usluga zahtijeva.
� Utemeljit će se procedure koje podupiru sigurnosnu politiku.
� Uprava se obvezuje da će pružiti potrebnu edukaciju o informacijskoj sigurnosti.
� Sve sigurnosne incidente, namjerne ili slučajne, potrebno je prijaviti.
� Vlasnici podataka odgovorni su za sve radnje s podacima u njihovoj nadležnosti,
tijekom životnog ciklusa podataka.
� Provodit će se izrada plana poslovnog kontinuiteta, kako bi se osigurala pouzdanost najvažnijih poslovnih procesa.
� Uprava se obvezuje na poštivanje relevantnih zakona na području informacijske
sigurnosti.
� Svi zaposlenici su dužni pridržavati se zahtjeva navedenih u ovoj politici.
71
Dodatak D
Opis metodologije za procjenu rizika 1 Pretpostavke Opisana metodologija procjene rizika se temelji na sljedećim pretpostavkama:
• Svaki resurs ima svoju vrijednost koja se označava s AV (engl. Asset Value). • Ranjivost pojedinog resursa postoji ili ne. • Ako resurs posjeduje ranjivost, postoji najmanje jedna prijetnja koja može iskoristiti tu
ranjivost. Prijetnja se označava s T (engl. Threat). • Prijetnja ima vjerojatnost ostvarenja koja ovisi o okolnostima u kojima se resurs
nalazi. Ta vjerojatnost se označava sa P(T) (engl. Threat Probability). • Prijetnja, ukoliko se ostvari, ima posljedice koje također ovise o okolnostima.
Posljedica se označava s I(T) (engl. Threat Impact). • Rizik resursa koji se odnosi odgovarajuću prijetnju se označava s R (engl. Risk).
2 Vrijednost resursa Procijenjeno je da način vrednovanja resursa definiran su u tablici (Tablica 1) zadovoljava potrebe ovog projekta.
Numerička vrijednost
Vrijednost Opis
1 niska Vrijednost resursa u sustavu je niska, odnosno gubitak ili kompromitacija resursa može predstavljati malu štetu za Tvrtku X.
2 srednja Vrijednost resursa u sustavu je srednja, odnosno gubitak ili kompromitacija resursa može predstavljati određenu štetu za Tvrtku X.
3 visoka Vrijednost resursa u sustavu je visoka, odnosno gubitak ili kompromitacija resursa može predstavljati veliku štetu za Tvrtku X.
4 vrlo visoka
Vrijednost resursa u sustavu je vrlo visoka, odnosno gubitak ili kompromitacija resursa može predstavljati vrlo veliku materijalnu ili nematerijalnu štetu za Tvrtku X.
Tablica 1 - Kvantifikacija vrijednosti resursa
72
Vrijednost svakog resursa određuje se s obzirom na osnovne aspekte informacijske sigurnosti: – povjerljivost (engl. confidentiality) – integritet (engl. integrity) – raspoloživost (engl. availability).
3 Prijetnje i ranjivosti Slično kao i kod vrednovanja resursa, procjena štete koju može uzrokovati neka prijetnja, isto kao i frekvencija njenog pojavljivanja kvantificira se na način kako je opisano u tablici (Tablica 2).
Numerička vrijednost
Šteta/ frekvencija
Opis
1 niska Šteta koju pojedina prijetnja može uzrokovati, odnosno frekvencija pojavljivanja je niska.
2 srednja Šteta koju pojedina prijetnja može uzrokovati srednja, odnosno frekvencija pojavljivanja je srednja.
3 visoka Šteta koju pojedina prijetnja može uzrokovati visoka, odnosno frekvencija pojavljivanja je velika.
4 vrlo visoka Šteta koju pojedina prijetnja može uzrokovati vrlo visoka, odnosno frekvencija pojavljivanja je vrlo velika.
Tablica 2 - Kvantifikacija štete koju može uzrokovati prijetnja i frekvencija pojavljivanja prijetnje
4 Procjena rizika Vrijednost resursa u odnosu na povjerljivost je C (engl. Confidentiality), integritet I (engl. Integrity) i raspoloživost A (engl. Availability). Ukupna vrijednost resursa, AV se dobiva kao maksimum navedenih vrijednosti: AV = Max (C, I, A) Procjenjeni rizik je: R = f(AV, P(T), I(T)), odnosno R = AV*P(T)*I(T).
73
P(T) 1 2 3 4 Prijetnja I(T) 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1 1 2 3 4 2 4 6 8 3 6 9 12 4 8 12 16
2 2 4 6 8 4 8 12 16 6 12 18 24 8 16 24 32
3 3 6 9 12 6 12 18 24 9 18 27 36 12 24 36 48
AV 4 4 8 12 16 8 16 24 32 12 24 36 48 16 32 48 64
Tablica 3 – Matrica za procjenu rizika
Minimalna vrijednost rizika iznosi: RMIN = AVMIN*P(T)MIN*I(T)MIN = 1. Maksimalna vrijednost rizika iznosi: RMAX = AVMAX*P(T)MAX*I(T)MAX = 64.
Veličina procijenjenog rizika tumači se na način opisan u sljedećoj tablici (Tablica 4).
Numerička vrijednost
Rizik Opis
1 – 8 nizak Procijenjeni rizik je nizak. 9 – 15 srednji Procijenjeni rizik je srednji. 16 – 31 visok Procijenjeni rizik je visok i nužno ga je umanjiti. 32 – 64 vrlo visok Procijenjeni rizik je previsok i nužno ga je umanjiti.
Tablica 3 - Tumačenje veličine rizika
5 Upravljanje rizikom Upravljanje rizikom podrazumijeva evaluaciju postojećih kontrola i predlaganje novih kontrola za one rizike koji su u fazi procjene rizika procijenjeni kao visoki ili vrlo visoki (Tablica 3). Također, na taj način se mogu tretirati rizici koji su procijenjeni kao srednji. Cilj je postići da svi rizici, primjenom odgovarajućih kontrola budu umanjeni na razinu srednjeg ili niskog rizika. Cijena implementacije pojedinih kontrola ne smije premašivati vrijednost pojedinog resursa.
74
Dodatak E
Izvještaj o procjeni rizika
1 Resursi
Kategorija Naziv resursa Vlasnik Opis C I A Max (C, I, A) Hardware Web server Tvrtka Y Tvrtka Y pruža uslugu Web hostinga Tvrtki X. N/A M VH VH Hardware E-mail server Tvrtka Y Tvrtka Y pruža uslugu elekroničke pošte Tvrtki X. N/A M H H Hardware PC Scanner Tehničar Računalo na kojem se obavlja testiranje web aplikacija. N/A M M M Hardware PC Report Voditelj Računalo na kojem se piše izvještaj koji se šalje klijentu. N/A M M M Hardware File Server
Tvrtka X Računalo na kojem se čuva arhiva izvještaja svih klijenata.
N/A M H H
Software Web Scanner Tehničar Aplikacija za testiranje sigurnosti Web aplikacija. VH VH VH VH Software MS Office
Voditelj MS Office programi se koriste za pisanje izvještaja klijentu.
L H H H
Software Adobe Acrobat Voditelj Acrobat služi za oblikovanje konačnog izvještaja. L H M H
Software MS Outlook Voditelj E-mail klijent koji se koristi kod elektoničke komunikacije s klijentom. L M M M
Software Trouble Ticket Express Tvrtka X Ticketing sustav koji služi za praćenje i obradu zahtjeva klijenata. L M M M
Software Drupal/MySQL/Apache/ PHP
Tvrtka X Skup aplikacija za upravljanje sadržajem Web aplikacije Tvrtke X. L H H H
Software Sigurnosne zakrpe Tvrtka X U ovu skupinu resursa spadaju zakrpe za MS Office, Adobe Acrobat, MS Outlook, Trouble Ticket Express, Drupal, MySQL, Apache, PHP.
L H M H
Podaci/Dokumenti Web forma Tvrtka X Preko Web forme klijenti se prijavljuju za korištenje besplatne usluge testiranja sigurnosti Web aplikacije. Web forma je smještena na poslužitelju Tvrtke Y.
L H H H
Podaci/Dokumenti E-mail sa zahtjevom klijenta
Voditelj Automatski generirani e-mail s podacima koje klijent unese u Web formu. M H M H
75
Podaci/Dokumenti E-mail upućen klijentu Voditelj Potvrda zaprimanja zahtjeva, ugovaranje termina i uvjeta testiranja. M H M H
Podaci/Dokumenti E-mail s odgovorom Voditelj Klijent potvrđuje dogovorene uvjete testiranja. M M M M Podaci/Dokumenti Zahtjev za testiranje Voditelj Putem ticketing sustava izdaje se zahtjev za testiranje. M H M H
Podaci/Dokumenti Izvještaj Web scannera Tehničar Web scanner nakon završetka testiranja automatski generira izvještaj o ranjivostima testirane aplikacije. VH H H VH
Podaci/Dokumenti Završni izvještaj Voditelj Dokument koji se šalje klijentu. VH VH H VH
Ljudski resursi Voditelj Tvrtka X
Konzulatant za informacijsku sigurnost zaprima i obrađuje zahtjev klijenta, provjerava točnost podataka i verificira zahtjev, ugovara termin testiranja, te rezultate testiranja šalje klijentu.
H H H H
Ljudski resursi Tehničar Tvrtka X Tehničar obavlja automatizirano testiranje Web aplikacije, ručno provjerava ranjivosti ukoliko je to potrebno, te sudjeluje u izradi izvještaja klijentu.
H H VH VH
Ljudski resursi Revizor Tvrtka X Revizor provjerava i verificira rezultate testiranje prije slanja izvještaja klijentu. H H M H
Komunikacije Veza na Internet Tvrtka ISP Internetska veza je nužan uvijet za odvijanje procesa. L H VH VH Komunikacije E-mail komunikacija Tvrtka Y Većina komunikacije u procesu je ostvarena e-mailom. L H H H Općenito Tvrtka Y Tvrtka Y je vanjski partner koji daje uslugu Web
hostinga. L H H H
Općenito Tvrtka ISP Tvrtka ISP je davatelj usluga pristupa Internetu. L H H H
2 Sklopovlje – procjena rizika Web server, AV = VH Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Kvar, neredovito održavanje Uskraćivanje usluge (DoS) H VH 48 Kvar, neredovito održavanje Degradacija usluge H H 36 Kvar, neredovito održavanje Korumpirani podaci M H 24
76
Neprimjerena lokacija Prirodne katastrofe (potres, poplava) L VH 16 Neprimjerena lokacija,neprimjerena kontrola pristupa Krađa M VH 32 Neprimjerena lokacija,neprimjerena kontrola pristupa Neovlaštene promjene H M 24 Neprimjerena lokacija Slučajna oštećenja H H 36
E-mail server, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Kvar, neredovito održavanje Degradacija usluge H H 27 Neprimjerena lokacija Prirodne katastrofe (potres, poplava) L H 9 Neprimjerena lokacija Slučajna oštećenja H M 18 Neprimjerena lokacija,neprimjerena kontrola pristupa Krađa M H 18 Neprimjerena lokacija,neprimjerena kontrola pristupa Neovlaštene promjene H M 18
File server, AV = H
Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Kvar, neredovito održavanje Gubitak raspoloživosti podataka H VH 36 Kvar, neredovito održavanje Korumpirani podaci M H 18 Neprimjerena lokacija Prirodne katastrofe (potres, poplava) L VH 12 Neprimjerena lokacija,neprimjerena kontrola pristupa Krađa M VH 24 Neprimjerena lokacija,neprimjerena kontrola pristupa Neovlaštene promjene H H 27 Neprimjerena lokacija Slučajna oštećenja H H 27 Neprimjerena kontrola pristupa Gubitak povjerljivosti i integriteta podataka H H 27
77
3 Programska oprema – procjena rizika
Web Scanner, AV = VH Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Neprimjereno korisničko sučelje Nemogućnost korištenja aplikacije H VH 48 Nedovoljno testirana aplikacija Neispravni izlazni podaci H VH 48 Neprimjena kontrola pristupa Neovlaštena upotreba aplikacije H VH 48 Neprimjena kontrola pristupa Krađa softvera M VH 32 Neprimjena kontrola pristupa Maliciozni softver (virusi, trojanski konji) H VH 48 Neprimjena kontrola pristupa Gubitak povjerljivosti H VH 48 Neprimjena kontrola pristupa Maskiranje H VH 48 Nema kontrole verzija Otežano pronalaženje grešaka VH M 32 Nema dokumetacije Otežano korištenje aplikacije VH M 32 Neprikladno upravljanje lozinkama Neovlaštena upotreba aplikacije H VH 48 Neprikladna zaštita izvornog koda Neovlaštena upotreba aplikacije H VH 48 Neprikladna zaštita izvornog koda Krađa softvera H VH 48 Nedostatak zaštite od malicioznog softvera Maliciozni softver (virusi, trojanski konji) H VH 48 Nedostatak zaštite od malicioznog softvera Neispravni izlazni podaci M VH 32
MS Office, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Neprimjena kontrola pristupa Maliciozni softver (virusi, trojanski konji) H H 27 Neprimjena kontrola pristupa Neovlaštena upotreba aplikacije H M 18 Nedostatak zaštite od malicioznog softvera Maliciozni softver (virusi, trojanski konji) H H 27 Nekontrolirana instalacija/deinstalacija Neovlaštena upotreba aplikacije M M 12 Nema sigurnosnih zakrpa Eksploatacija poznatih ranjivosti M H 18 Licenciranje softvera Nelicencirana upotreba softvera M H 18
78
Adobe Acrobat, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Neprimjena kontrola pristupa Maliciozni softver (virusi, trojanski konji) H H 27 Neprimjena kontrola pristupa Neovlaštena upotreba aplikacije H M 18 Nedostatak zaštite od malicioznog softvera Maliciozni softver (virusi, trojanski konji) H H 27 Nekontrolirana instalacija/deinstalacija Neovlaštena upotreba aplikacije M M 12 Nema sigurnosnih zakrpa Eksploatacija poznatih ranjivosti M H 18 Licenciranje softvera Nelicencirana upotreba softvera M H 18
Drupal/ MySQL/Apache/PHP, AV = H
Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Neprimjena kontrola pristupa Maliciozni softver (virusi, trojanski konji) H H 27 Neprimjena kontrola pristupa Neovlaštena upotreba aplikacije H H 27 Neprimjena kontrola pristupa Narušavanje integriteta baze podataka H VH 36 Neprimjena kontrola pristupa Gubitak podataka H VH 36 Neprimjena kontrola pristupa Gubitak povjerljivosti podataka H VH 36 Neprimjena kontrola pristupa Uskraćivanje usluge (DoS) H VH 36 Nema sigurnosnih zakrpa Eksploatacija poznatih ranjivosti M H 18 Nedostatak zaštite od malicioznog softvera Maliciozni softver (virusi, trojanski konji) H H 27 Licenciranje softvera Nelicencirana upotreba softvera M M 12
Sigurnosne zakrpe, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Neadekvatna specifikacija Upotreba zakrpa na neautoriziran način M M 12 Zakrpe nisu testirane Degradacija softvera H H 27 Nekontrolirana instalacija/deinstalacija Neovlaštena upotreba zakrpa H H 27 Nekompatibilne zakrpe Degradacija softvera H H 27
79
4 Podaci, dokumenti – procjena rizika
Web forma, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Nema sigurnosne kopije (backupa) Gubitak raspoloživosti zbog kvara na mediju M H 18 SQL injection Otkrivanje povjerljivih podataka o klijentima H H 27 Cross site scripting (XSS) Kompromitiranje sadržaja H H 27 Directory traversal Otkrivanje povjerljivih podataka o klijentima H H 27
E-mail sa zahtjevom klijenta, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Nema sigurnosne kopije (backupa) Gubitak podataka M H 18 Nema "clean desk" politike Otkrivanje podataka o klijentu H M 18 Podaci nisu validirani Korumpirani podaci M M 12 Neprimjerena klasifikacija Neautorizirano postupanje s resursom M H 18
E-mail upućen klijentu, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Podaci nisu validirani Netočni podaci koji se šalju klijentu M M 12 Neprimjerena klasifikacija Neautorizirano postupanje s resursom H H 27
Zahtjev za testiranje, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Zahtjev nije validiran Netočni podaci M M 12 Neprimjerena klasifikacija Neautorizirano postupanje s resursom H M 18
80
Izvještaj Web scannera, AV = VH Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Podaci nisu validirani Netočni podaci H VH 48 Neprimjerena klasifikacija Neautorizirano postupanje s resursom H VH 48 Nema sigurnosne kopije (backupa) Gubitak podataka H M 24 Nema "clean desk" politike Otkrivanje povjerljivh podataka o klijentu H VH 48
Završni izvještaj, AV = VH Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Podaci nisu validirani Netočni podaci H VH 48 Neprimjerena klasifikacija Neautorizirano postupanje s resursom H VH 48 Nema sigurnosne kopije (backupa) Gubitak podataka M M 16 Nema "clean desk" politike Otkrivanje povjerljivh podataka o klijentu H VH 48
5 Ljudski resursi – procjena rizika
Voditelj, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Neadekvatna definicija zaposlenja Neovlaštene aktivnosti H H 27 Nedostatak svijesti o sigurnosti Spajanje neovlaštene opreme M H 18 Nedostatak svijesti o sigurnosti Zlouporaba resursa M H 18 Nedostatak svijesti o sigurnosti Gubitak povjerljivosti M VH 24 Nedostatak svijesti o sigurnosti Zanemarivanje sigurnosnih zakrpa M H 18 Odsutnost s posla Gubitak raspoloživosti usluge M VH 24 Nedostatak stručnosti Neovlaštene aktivnosti M H 18 Nedostatak stručnosti Neprikladana uporaba organizacijskih resursa M H 18 Nedostatak stručnosti Operativne pogreške M VH 24
81
Nedostatak stručnosti Korumpirani podaci M VH 24 Nezadovoljstvo na poslu Neovlaštene aktivnosti M H 18 Nezadovoljstvo na poslu Maskiranje identiteta M H 18 Nezadovoljstvo na poslu Maliciozni softver M VH 24 Nezadovoljstvo na poslu Otkrivanje povjerljivih podataka H VH 36 Nema pisanih procedura/politika/standarda Otkrivanje povjerljivih podataka H VH 36 Nema pisanih procedura/politika/standarda Neovlaštene aktivnosti H H 27 Nema pisanih procedura/politika/standarda Neprikladana uporaba organizacijskih resursa M H 18
Tehničar, AV = VH Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Neadekvatna definicija zaposlenja Neovlaštene aktivnosti H H 36 Nedostatak svijesti o sigurnosti Spajanje neovlaštene opreme M H 24 Nedostatak svijesti o sigurnosti Zlouporaba resursa M H 24 Nedostatak svijesti o sigurnosti Gubitak povjerljivosti M VH 32 Nedostatak svijesti o sigurnosti Zanemarivanje sigurnosnih zakrpa M H 24 Nedostatak stručnosti Neovlaštene aktivnosti M H 24 Nedostatak stručnosti Neprikladana uporaba organizacijskih resursa M H 24 Nedostatak stručnosti Operativne pogreške M H 24 Nedostatak stručnosti Korumpirani podaci M H 24 Nezadovoljstvo na poslu Neovlaštene aktivnosti M H 24 Nezadovoljstvo na poslu Maskiranje identiteta M H 24 Nezadovoljstvo na poslu Maliciozni softver M VH 32 Nezadovoljstvo na poslu Otkrivanje povjerljivih podataka H VH 48 Nema pisanih procedura/politika/standarda Otkrivanje povjerljivih podataka H VH 48 Nema pisanih procedura/politika/standarda Neovlaštene aktivnosti H H 36 Nema pisanih procedura/politika/standarda Neprikladana uporaba organizacijskih resursa M H 24
Revizor, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Neadekvatna definicija zaposlenja Neovlaštene aktivnosti H H 27
82
Nedostatak svijesti o sigurnosti Spajanje neovlaštene opreme M H 18 Nedostatak svijesti o sigurnosti Zlouporaba resursa M H 18 Nedostatak svijesti o sigurnosti Gubitak povjerljivosti M VH 24 Nedostatak svijesti o sigurnosti Zanemarivanje sigurnosnih zakrpa M H 18 Nedostatak stručnosti Neovlaštene aktivnosti M H 18 Nedostatak stručnosti Neprikladana uporaba organizacijskih resursa M H 18 Nedostatak stručnosti Operativne pogreške M H 18 Nedostatak stručnosti Korumpirani podaci M H 18 Nezadovoljstvo na poslu Neovlaštene aktivnosti M H 18 Nezadovoljstvo na poslu Maskiranje identiteta M H 18 Nezadovoljstvo na poslu Maliciozni softver M VH 24 Nezadovoljstvo na poslu Otkrivanje povjerljivih podataka H VH 36 Nema pisanih procedura/politika/standarda Otkrivanje povjerljivih podataka H VH 36 Nema pisanih procedura/politika/standarda Neovlaštene aktivnosti H H 27 Nema pisanih procedura/politika/standarda Neprikladana uporaba organizacijskih resursa M H 18
6 Komunikacije – procjena rizika Veza na Internet, AV = VH Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Nezaštićene komunikacijske linije Presretanje i prisluškivanje komunikacije M VH 32 Nedostatak identifikacije Maskiranje M H 24 Prijenos nekriptiranih lozinki Maskiranje M H 24
E-mail komunikacija, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Protokol koji prenosi čisti tekst Narušavanje povjerljivosti M VH 24 Čuvanje kopija poslanih poruka Narušavanje povjerljivosti M VH 24 Odbacivanje poruke od strane anti-spam alata Narušavanje raspoloživosti M H 18
83
7 Općenito – procjena rizika Tvrtka Y, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Prestanak poslovanja Gubitak raspoloživosti usluge M VH 24
Tvrtka ISP, AV = H Ranjivost Prijetnja - T P(T) I(T) R=AV*P(T)*I(T) Prestanak poslovanja Gubitak raspoloživosti komunikacijskih usluga M VH 24
8 Oznake
AV Asset value Vrijednost resursa
P(T) Threat probability Vjerojatnost prijetnje
I(T) Threat impact Posljedica prijetnje
R Risk Rizik
L Low Vrijednost = 1
M Medium Vrijednost = 2
H High Vrijednost = 3
VH Very high Vrijednost = 4
C Confidentiality Povjerljivost
I Integrity Integritet
A Availability Raspoloživost
84
Dodatak F
Izjava o primjenjivosti
Referenca ISO/IEC 27001 kontrola Primjenjena? Izjava o primjenjivosti
4.2 Uspostaviti ISMS (PLAN)
4.2.1.a Definirati opseg ISMS-a DA Izrađen je dokument Opseg i granice sustava upravljanja sigurnošću informacija.
4.2.1.b Definirati ISMS politiku DA Vidjeti dokument Izjava o sigurnosnoj politici. 4.2.1.c Definirati sistematski pristup procjeni rizika DA Vidjeti dokument Opis metodologije za procjenu rizika. 4.2.1.d Identificirati rizike DA Vidjeti dokument Procjena rizika. 4.2.1.e Analizirati i evaluirati rizike DA Provedena je evaluacija svih identificiranih rizika.
4.2.1.f Identificirati i evaluirati opcije za obradu rizika DA Opcije za obradu rizika su navedene u dokumentu Opis metodologije za procjenu rizika.
4.2.1.g Odabrati kontrole i kontrolne ciljeve za obradu rizika
DA U nastavku Izjave o primjenjivosti nalazi se popis odabranih kontrola.
4.2.1.h Dobiti odobrenje uprave za obradu rizika DA Uprava je odobrila plan za obradu rizika.
4.2.1.i Dobiti odobrenje uprave za implementaciju ISMS-a
DA Uprava je autorizirala implementaciju ISMS-a.
4.2.1.j Pripremiti Izjavu o primjenjivosti DA
Referenca ISO/IEC 17799 kontrola Primjenjena? Izjava o primjenjivosti
A.5 Sigurnosna politika
A.5.1 Informacijska sigurnosna politika A.5.1.1 Dokument sigurnosne politike DA Vidjeti dokument Izjava o sigurnosnoj politici.
A.5.1.2 Revizija sigurnosne politike DA Izjava o Sigurnosnoj politici će se ažurirati u skladu s relevantnim promjenama.
85
A.6 Organizacija informacijske sigurnosti
A.6.1 Unutarnja organizacija
A.6.1.1 Angažiranost uprave na polju informacijske sigurnosti
DA Uprava će djelovati na području informacijske sigurnosti. Uprava se na to obvezala potpisivanjem Izjave o sigurnosnoj politici.
A.6.1.2 Koordinacija informacijske sigurnosti DA Ukoliko dođe do nekih promjena relevantnih za ISMS, na redovitim tjednim sastancima će se prijaviti te promjene.
A.6.1.3 Dodjela sigurnosnih odgovornosti DA Odgovornost za pojedine resurse je dokumentirana u Popisu resursa.
A.6.1.4 Autorizacijski proces za uvođenje novih resursa DA Uprava treba definirati autorizacijski proces za uvođenje novih resursa koji će uključivati provjere hardvera i softvera prije uporabe u procesu.
A.6.1.5 Sporazumi o povjerljivosti DA Svi zaposlenici uključeni u proces besplatne procjene sigurnosti Web aplikacija trebaju potpisati Sporazum o povjerljivosti.
A.6.1.6 Suradnja s mjerodavnim ustanovama DA Članovi uprave trebaju redovito kontaktirati predstavnike relevantnih institucija.
A.6.1.7 Suradnja s interesnim skupinama DA Tehničar i voditelj trebaju redovito pratiti relevantne objave o otkrivenim prijetnjama i ranjivostima, kao i sve novosti na području razvoja Web aplikacija.
A.6.1.8 Nezavisni ispitivanje informacijske sigurnosti DA Uprava treba inicirati nezavisno ispitivanje ISMS-a u planiranim intervalima.
A.6.2 Vanjski suradnici
A.6.2.1 Identifikacija rizika povezanog s vanjskim suradnicima
DA Identifikacija rizika povezanog s vanjskim suradnicima je uključena u plan obrade rizika. Vidjeti dokument Procjena rizika, dio Općenito.
A.6.2.2 Sigurnost u poslovanju s klijentima DA Sigurnosni uvjeti suradnje su navedeni u uvjetima korištenja usluge.
A.6.2.3 Sigurnost i usluge vanjskih suradnika DA Sigurnosni uvjeti poslovanja s vanjskim suradnicma definirani su u ugovorima sklopljenim s vanjskim suradnicima.
A.7 Upravljanje resursima
A.7.1 Odgovornost za resurse
A.7.1.1 Inventura resursa DA Inventura resursa je obavljena. Vidjeti dokument Procjena rizika, dio Resursi.
A.7.1.2 Vlasništvo nad resursima DA Dodjeljeno je vlasništvo nad resursima. Vidjeti dokument Procjena rizika, dio Resursi.
86
A.7.1.3 Prihvatljiva uporaba resursa DA Potrebno je definirati, dokumentirati i implementirati pravila za uporabu resursa.
A.7.2 Klasifikacija informacija
A.7.2.1 Klasifikacijske smjernice DA Definirati proceduru za prikladnu klasifikaciju informacija u ovisnosti o njihovoj vrijednosti, osjetljivosti i kritičnosti za organizaciju.
A.7.2.2 Označavanje informacija DA Definirati proceduru za prikladno označavanje informacija u ovisnosti o njihovoj vrijednosti, osjetljivosti i kritičnosti za organizaciju.
A.8 Sigurnost i ljudski resursi
A.8.1 Prije zaposlenja
A.8.1.1 Uloge i odgovornosti DA U sigurnosnoj politici su opisane uloge i odgovornosti sudionika u procesu.
A.8.1.2 Provjere DA Izvršene su provjere identiteta i kvalifikacija svih sudionika u procesu.
A.8.1.3 Uvjeti zaposlenja DA Definirani su uvjeti zaposlenja u skladu sa sigurnosnom politikom, a uprava brine o poštivanju navedenih uvjeta.
A.8.2 Tijekom zaposlenja
A.8.2.1 Odgovornost uprave DA Potrebno je dokumentirati odgovornosti za svaku ulogu u procesu i zatražiti potpisivanje sukladnosti svih sudionika u procesu.
A.8.2.2 Svijest, edukacija i trening na području informacijske sigurnosti
DA Uprava je osigurala edukaciju i sigurnosni trening svih sudionika u procesu.
A.8.2.3 Disciplinski proces DA Potrebno je definirati disciplinski proces.
A.8.3 Nakon zaposlenja A.8.3.1 Odgovornosti kod prekida zaposlenja DA Uprava brine o sigurnosnim aspektima prekida zaposlenja.
A.8.3.2 Povrat resursa DA U ugovor o zapošljavanju uključiti vraćanje organizacijske imovine u slučaju prekida zaposlenja.
A.8.3.3 Uklanjanje pristupnih prava DA Uprava brine o uklanjanju svih pristupnih prava nakon zaposlenja.
A.9 Fizička sigurnost
A.9.1 Sigurna područja
87
A.9.1.1 Sigurnosni opseg DA Radne prostorije su odvojene od prostorija gdje se primaju klijenti. A.9.1.2 Kontrola fizičkog pristupa DA Potrebno je organizirati kontrolu pristupa sigurnosnom opsegu. A.9.1.3 Osiguranje ureda, soba i imovine DA Potrebno je osigurati osjetljive resurse od neovlaštenog pristupa. A.9.1.4 Zaštita od vanjskih prijetnji DA Potrebno je osigurati prikladnu zaštitu od vanjskih prijetnji.
A.9.1.5 Rad u sigurnim prostorima DA Pristup osjetljivim resursima (npr. file serveru) je ograničena samo na autorizirane korisnike.
A.9.1.6 Javni i dostavni prostor DA Radne prostorije su odvojene od prostorija gdje se primaju klijenti i dostava.
A.9.2 Sigurnost opreme
A.9.2.1 Smještaj i zaštita opreme DA Vrijedni resursi su zaštićeni kako bi se smanji rizik od neautoriziranih aktivnosti i nenamjernih fizičkih prijetnji.
A.9.2.2 Pomoćna oprema DA Sva pomoćna oprema (struja, grijanje, ventilacija) je prikladna. A.9.2.3 Sigurnost kabela DA Gdje je to moguće, naponski i komunikacijski kabeli su odvojeni.
A.9.2.4 Održavanje opreme DA Oprema se prikladno provjerava i održava u planiranim intervalima, te se vodi zapisnik o servisiranju i popravcima .
A.9.2.5 Sigurnost opreme izvan prostorija organizacije NE Ne postoji oprema u vlasništvu organizacije koja se nalazi na nekoj drugoj lokaciji ili koja se iznosi izvan prostorija organizacije.
A.9.2.6 Sigurno odlaganje opreme DA Gdje je to moguće, diskovi će se formatirai prema proceduri koju će donijeti uprava.
A.9.2.7 Premještanje opreme NE Ne postoji oprema u vlasništvu organizacije koja se nalazi na nekoj drugoj lokaciji ili koja se iznosi izvan prostorija organizacije.
A.10 Upravljanje komunikacijama i operacijama
A.10.1 Operativne procedure i odgovornosti
A.10.1.1 Dokumentiranje operativnih procedura DA Potrebno je dokumentirati proceduru za proces besplatne procjene sigurnosti Web aplikacija.
A.10.1.2 Upravljanje promjenama DA Potrebno je dokumentirati sve promjene u operativnim sustavima, procesima, aplikacijskim programima i sl.
A.10.1.3 Odvajanje dužnosti DA U slučajevima gdje nije moguće provesti potpuno odvajanje dužnosti, povećat će se nadzor nad aktivnostima.
88
A.10.1.4 Odvajanje razvojnog, testnog i operativnog okruženja
DA Odvajanje okruženja se treba provesti u što većoj mjeri, a u slučajevima gdje to nije moguće, povećati nadzor nad aktivnostima.
A.10.2 Upravljanje uslugama treće strane
A.10.2.1 Pružanje usluge DA U ugovorima sklopljenima s vanjskim partnerima (Tvrtka Y i Tvrtka ISP), uključeni su i sigurnosni zahtjevi suradnje.
A.10.2.2 Nadzor nad uslugama treće strane DA Prate se performanse usluga i u suradnji s trećom stranom se rješavaju svi evidentirani problemi.
A.10.2.3 Upravljanje promjenama u uslugama treće strane. DA Sve relevantne promjene u uslugama se identificiraju i vrši se usklađivanje s promjenama.
A.10.3 Planiranje i prihvaćanje sustava
A.10.3.1 Upravljanje kapacitetom DA Postoji neformalni proces planiranja kapaciteta i upravljanja istim. To je dovoljno za sadašnje aktivnosti.
A.10.3.2 Prihvaćanje sustava DA Potrebno je utemeljiti formalni proces prihvaćanja novih sustava.
A.10.4 Zaštita od maliocioznog i mobilnog koda
A.10.4.1 Zaštita od malicioznog koda DA U upotrebi je anti-virusni softver za zaštitu desktop i serverskih računala od malicioznog koda.
A.10.4.2 Zaštitta od mobilnog koda DA Mobilni kod se pokreće isključivo u kontroliranom okruženju.
A.10.5 Sigurnosne kopije A.10.5.1 Sigurnosne kopije informacija DA Potrebno je izraditi politiku sigurnosnih kopija.
A.10.6 Upravljanje mrežnom sigurnošću
A.10.6.1 Mrežne kontrole DA Vatrozidi su postavljeni. Potrebno je izraditi proceduru koja opisuje prihvatljive mrežne servise i protokole.
A.10.6.2 Sigurnost mrežnih usluga DA Potrebno je implementirati tehnička, kao i proceduralna rješenja za sigurno korištenje mrežnih usluga.
A.10.7 Rukovanje medijima
A.10.7.1 Upravljanje uklonjivim medijima NE U procesu ne postoje uklonjivi mediji.
A.10.7.2 Odlaganje medija NE Trenutno se nikakve povjerljive informacije ne čuvaju na premjestivim medijima.
89
A.10.7.3 Procedure za rukovanje informacijama DA Potrebno je izraditi proceduru za rukovanje osjetljivm informacijama. A.10.7.4 Sigurnost sustavske dokumentacije DA Dokumentacija Web scannera je prikladno zaštićena.
A.10.8 Razmjena informacija
A.10.8.1 Politike i procedure razmjene informacije DA Potrebno je utemeljiti proceduru za razmjenu osjetljivih informacija u procesu.
A.10.8.2 Sporazumi o razmjeni informacija DA Prilikom slanja e-maila s izvještajem klijentu, potrebno je označiti da se radi o osjetljivim infomacijama.
A.10.8.3 Transport fizičkih medija NE Ne postoji transport fizičkih medija.
A.10.8.4 Elektroničke poruke DA Potrebno je kriptografskim algoritmom zaštititi e-mail sa završnim izvještajem o ranjivostima testirane Web aplikacije.
A.10.8.5 Poslovni informacijski sustavi NE Ne postoji sustav razmjene informacija koji je rizičan.
A.10.9 E-trgovinske usluge
A.10.9.1 E-trgovina NE Organizacija se ne bavi e-trgovinom.
A.10.9.2 On-Line transakcije NE Organizacija se ne bavi e-trgovinom.
A.10.9.3 Javno dostupne informacije DA Potrebno je zaštititi integritet Web forme za prijavu klijenta.
A.10.10 Nadziranje
A.10.10.1 Kontrola dnevnika DA Potrebno je periodičko pregledavanje zapisa o pristupu kritičnim resursima (npr. file server, Web scanner).
A.10.10.2 Nadzor uporabe sustava DA Potrebno je nadzirati pristup kritičnim resursima (npr.file server, Web scanner).
A.10.10.3 Zaštita informacija u dnevnicima DA Dnevnici se trebaju arhivirati na zaštićenom mjestu.
A.10.10.4 Administratorski i operativni dnevnici DA Potrebno je osigurati automatsko zapisivanje aktivnosti tehničara prilikom pokretanja Web scannera.
A.10.10.5 Dnevnik grešaka DA Potrebno je osigurati automatsko zapisivanje svih grešaka u radu Web scannera.
A.10.10.6 Vremenska sinkronizacija DA Vrijeme se automatski sinkronizira prema UTC standardu.
A.11 Kontrola pristupa
A.11.1 Poslovni zahtjevi kontrole pristupa
90
A.11.1.1 Politika kontrole pristupa DA Potrebno ja izraditi proceduru za kontrolu pristupa koja će opisati odgovornosti korisnika, prihvatljivu uporabu resursa i sl.
A.11.2 Upravljanje pristupom korisnika
A.11.2.1 Registracija korisnika DA Postoji procedura dodjeljivanja i opoziva korisničkih prava.
A.11.2.2 Upravljanje privilegijama DA Privilegije se dodjeljuju po potrebi i u skladu s politikom kontrole pristupa.
A.11.2.3 Upravljanje korisničkim lozinkama DA Postoje minimalni zahtjevi koje lozinka mora zadovoljiti.
A.11.2.4 Pregled pristupnih prava korisnika DA U slučaju promjene karakteristika procesa, revidiraju se i pristupna prava.
A.11.3 Obveze korisnika
A.11.3.1 Uporaba lozinki DA Korisnici su svjesni svojih odgovornosti. A.11.3.2 Oprema bez nadzora DA Korisnici su svjesni svojih odgovornosti. A.11.3.3 Politika održavanja radnog stola i ekrana DA Postoji politika održavanja radnog stola i ekrana.
A.11.4 Kontrola pristupa mreži
A.11.4.1 Politika uporabe mrežnih usluga DA Postoji neformalana politika korištenja mrežnih usluga (prvenstveno Interneta).
A.11.4.2 Autentifikacija za vanjske konekcije DA Potrebna je autentifikaicija prije spajanja na Web server i e-mail server. A.11.4.3 Identifikacija opreme u mreži NE Ne postoji uvjet spajanja s određene lokacije. A.11.4.4 Zaštita dijagnostičkih i konfiguracijskih portova DA Kontrolira se pristup dijagnostičkim i konfiguracijskim portovima. A.11.4.5 Segregacija u mrežama NE Nema potrebe za segregacijom mreže. A.11.4.6 Kontrola mrežnog povezivanja DA Kontroliraju se mrežne konekcije u skladu s politikom kontrole pristupa. A.11.4.7 Kontrola mrežnog usmjeravanja DA Vatrozidi obavljaju funkciju kontrole mrežnog usmjeravanja.
A.11.5 Kontrola pristupa operacijskim sustavima
A.11.5.1 Procedure prijave na sustav DA Svi zaposleni se prijavljuju na sustav sigurnim procedurama. A.11.5.2 Korisnička identifikacija i autentifikacija DA Svi korisnici imaju jedinstveno korisničko ime i lozinku. A.11.5.3 Sustav za upravljanje lozinkama DA Upotrebljava se prikladan sustav upravljanja lozinkama.
A.11.5.4 Uporaba sustavskih uslužnih programa NE Nema potrebe za ograničavanjem pristupa sustavskim uslužnim programima.
A.11.5.5 Kraj valjanosti sjednice DA Nakon dužeg perioda neaktivnosti automatski se pokreću čuvari zaslona zaštićeni lozinkom.
91
A.11.5.6 Ograničavanje vremena spajanja NE Nema potrebe za ograničavanjem vremena spajanja.
A.11.6 Aplikacijska i informacijska kontrola pristupa A.11.6.1 Ograničavanje pristupa informacijama DA Ograničen je pristup izlaznim informacijama Web scannera. A.11.6.2 Izolacija osjetljivih sustava DA Web scanner se pokreće u izoliranom okruženju.
A.11.7 Mobilno računarstvo i udaljeni rad
A.11.7.1 Mobilno računarstvo i komunikacije NE Nije uobičajena praksa rada na daljinu. A.11.7.2 Udaljeni rad NE Nije uobičajena praksa rada na daljinu.
A.12 Nabava, razvoj i održavanje informacijskog sustava
A.12.1 Sigurnosni zahtjevi informacijskih sustava
A.12.1.1 Analiza i specifikacija sigurnosnih zahtjeva DA Potrebno je dokumentirati sigurnosne zahtjeve prilikom nabave ili nadogradnje sustava.
A.12.2 Ispravna obrada informacija u aplikacijama
A.12.2.1 Validacija ulaznih podataka DA Obavlja se validacija ulaznih podataka prije pokretanja Web scannera. A.12.2.2 Kontrola obrade podataka DA Obavlja se testiranje rada Web scannera. A.12.2.3 Integritet poruka NE Nema potrebe za zaštitom integriteta poruka. A.12.2.4 Validacija izlaznih podataka DA Obavlja se validacija izlaza iz Web scannera.
A.12.3 Kriptografske kontrole
A.12.3.1 Politika uporabe kriptografskih kontrola NE Kriptografija nije dio procesa. A.12.3.2 Upravljanje ključevima NE Kriptografija nije dio procesa.
A.12.4 Sigurnost sustavskih datoteka
A.12.4.1 Kontrola operativnog softvera DA Postoje kontrole za instalaciju novog softvera na sustave, instalaciju sigurnosnih zakrpa, te deinstalaciju softvera.
A.12.4.2 Zaštita testnih podataka NE Operativni podaci se ne koriste u testne svrhe. A.12.4.3 Kontrola pristupa izvornom tekstu programa DA Pristup izvornom tekstu Web scannera je strogo kontroliran.
A.12.5 Sigurnost i razvoj programske opreme
92
A.12.5.1 Procedure za kontroliranje promjena DA Potrebno je utemeljiti procedure kroz koje će se kontrolirati sve promjene u programskoj opremi.
A.12.5.2 Tehnički pregleda aplikacija nakon promjene u operacijskim sustavima
DA Pri promjenama u operacijskim sustavima, testiraju se aplikacije koje se na njih oslanjaju.
A.12.5.3 Ograničenja promjena u programskim paketima DA Izvode se samo nužne i kontrolirane promjene u programskim paketima.
A.12.5.4 Curenje informacija DA Mogućnost curenja informacija je minimalna. A.12.5.5 Razvoj softvera izvan organizacije NE Organizacija nema partnera za razvoj programske opreme.
A.12.6 Upravljanje tehničkim ranjivostima
A.12.6.1 Kontrola tehničkih ranjivosti DA Tehničke ranjivosti se nadziru i rješavaju.
A.13 Upravljanje sigurnosnim incidentima
A.13.1 Prijava sigurnosnih incidenata i ranjivosti A.13.1.1 Prijava sigurnosnih incidenata DA Svi detektirani sigurnosni incidenti se prijavljuju.
A.13.1.2 Prijava sigurnosnih ranjivosti DA Sve detektirane ranjivosti sustava koji su u uporabi se prijavljuju.
A.13.2 Upravljanje sigurnosnim incidentima i poboljšanjima
A.13.2.1 Odgovornosti i procedure DA Potrebno je utemeljiti procedure za brzo i efikasno reagiranje na sigurnosne incidente.
A.13.2.2 Učenje iz incidenata DA O svim incidentima se raspravlja na redovitim tjednim sastancima. A.13.2.3 Skupljanje dokaza DA Sakupljanje dokaza je dužnost svakog pojedinog zaposlenika.
A.14 Upravljanje poslovnim kontinuitetom
A.14.1 Sigurnosni aspekti upravljanja poslovnim kontinuitetom
A.14.1.1 Uključivanje informacijske sigurnosti u upravljanje poslovnim kontinuitetom
DA Plan poslovnog kontinuiteta je u razvoju.
A.14.1.2 Poslovni kontinuitet i procjena rizika DA Plan poslovnog kontinuiteta se oslanja na procjenu rizika.
A.14.1.3 Razvoj i implementacija plana poslovnog kontinuiteta
DA Plan poslovnog kontinuiteta je u razvoju.
93
A.14.1.4 Okvir za plan poslovnog kontinuiteta DA Postoji okvir plana poslovnog kontinuiteta koji osigurava da su sve akcije konzistentne.
A.14.1.5 Testiranje, održavanje i procjena plana poslovnog kontinuiteta
DA Testiranje, održavanje i procjena plana poslovnog kontinuiteta će se obavljati redovito.
A.15 Usklađivanje
A.15.1 Usklađivanje sa sigurnosnim zahtjevima
A.15.1.1 Identifikacija primjenjivih zakona DA Svi primjenjivi zakoni su identificirani i uključeni u ugovore sa zaposlenicima.
A.15.1.2 Intelektualno vlasništvo DA Uvjeti intelektualnog vlasništva su uključeni u ugovore sa zaposlenicima.
A.15.1.3 Zaštita organizacijskih dokumenata DA Postoje procedure za zaštitu osjetljivih organizacijskih dokumenata.
A.15.1.4 Zaštita privatnosti osobnih podataka DA Organizacija se ugovorima sa zaposlenicima obvezuje na čuvanje privatnosti zaposlenika.
A.15.1.5 Spriječavanje zlouporabe resursa DA Zaposlenici su upoznati s odgovornostima prilikom uporabe resursa. A.15.1.6 Regulacija kriptografskih kontrola NE Kriptografija nije dio procesa.
A.15.2 Usklađivanje sa sigurnosnim politikama i standardima, te tehničko usklađivanje
A.15.2.1 Usklađivanje sa sigurnosnim politikama i standardima
DA Na redovitim sastancima se raspravlja u usklađenosti sa sigurnosnim standardima i politikama.
A.15.2.2 Provjera tehničke usklađenosti DA Provjera tehničke usklađenosti se izvodi u planiranim intervalima.
A.15.3 Revizija informacijskih sustava
A.15.3.1 Kontrola revizije informacijskih sustava DA Planiraju se nezavisne revizije informacijskih sustava A.15.3.2 Zaštita informacijskih sustava tijekom revizije DA Kontrolira se pristup nezavisnih revizora.