Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva. mr. sc. Aleksandar Klaić, dipl. ing.

Transcription

1 Sveučilište u Zagrebu Fakultet elektrotehnike i računarstva mr. sc. Aleksandar Klaić, dipl. ing. MINIMALNI SIGURNOSNI KRITERIJI I UPRAVLJANJE RIZIKOM INFORMACIJSKE SIGURNOSTI SEMINARSKI RAD Iz predmeta Sigurnost računalnih sustava Doc. dr. sc. Marin Golub Zagreb, travanj 2010.

2 Sadržaj: 1. RAZVOJ POLITIKE INFORMACIJSKE SIGURNOSTI Tradicionalna politika informacijske sigurnosti državnog sektora Razvoj suvremene politike informacijske sigurnosti Minimalni sigurnosni kriteriji i upravljanje rizikom 6 2. OSNOVNI POJMOVI I KONCEPTI UPRAVLJANJA RIZIKOM Taksonomija osnovnih pojmova u upravljanju rizikom Problem subjektivnosti metoda procjenjivanja rizika Rizik važan za informacijsku sigurnost Modeliranje sigurnosnog okruženja prilikom procjenjivanja rizika PRIMJERI KORIŠTENJA KOMBINACIJE MINIMALNIH SIGURNOSNIH KRITERIJA I UPRAVLJANJA RIZIKOM U OKVIRU POLITIKE INFORMACIJSKE SIGURNOSTI Politika informacijske sigurnosti u državnoj upravi Područje sigurnosti podataka Područje fizičke sigurnosti Područje sigurnosnih provjera fizičkih i pravnih osoba Područje sigurnosti informacijskih sustava Norme državnog sektora, nacionalne i međunarodne norme PRIMJERI U PROPISIMA INFORMACIJSKE SIGURNOSTI U RH Neklasificirani podaci Klasificirani podaci PRISTUP UPRAVLJANJU RIZIKOM U ISO/IEC NORMAMA Zahtjevi na upravljanje rizikom Metoda upravljanja rizikom sukladna zahtjevima norme ISO ZAKLJUČAK 35 LITERATURA 36 Travanj od 37

3 Sažetak: Politika informacijske sigurnosti ima najdužu tradiciju u državnim sektorima razvijenih zemalja svijeta. Temeljni cilj te politike danas, u osnovi je isti kao i prije pedesetak godina osigurati minimalne sigurnosne kriterije prilikom postupanja s klasificiranim podacima u tijelima državne uprave. U isto vrijeme suvremeni pristup upravljanju informacijskom sigurnošću oslanja se na koncept upravljanja rizikom. U okviru opisa razvoja politike informacijske sigurnosti, u radu se analiziraju oba pristupa, minimalni sigurnosni kriteriji i upravljanje rizicima, kao i primjene koje kombiniraju ova dva pristupa. Analiziraju se također značajnija obilježja različitih koncepata i metoda upravljanja rizikom koje se koriste u području informacijske sigurnosti. Karakteristične primjene upravljanja rizikom u državnoj upravi prikazane su kroz tipična područja informacijske sigurnosti u državnom sektoru. Prikazana je osnovna koncepcija suvremenih metoda upravljanja rizikom, s naglaskom na modeliranje sigurnosnog okruženja te na tipične probleme subjektivnosti povezane s metodama procjenjivanja rizika. Minimalne sigurnosne kriterije i koncept upravljanja rizikom u okviru propisa RH, razmatra se u odnosu na vrste podataka koje su dominantne s obzirom na zahtjeve informacijske sigurnosti. Rad se usmjerava na klasificirane i neklasificirane podatke, s obzirom da za te vrste podataka u RH postoji regulativa u okviru koje se na određeni način primjenjuje kombinacija minimalnih sigurnosnih kriterija i upravljanja rizikom. ISO/IEC pristup upravljanju rizikom najčešće je primjenjivan pristup u različitim sigurnosnim okruženjima u RH i u razvijenim državama svijeta, pa se stoga u radu ukratko prikazuju i osnovne značajke preporučene metode upravljanja rizikom sukladno paleti normi ISO/IEC Razvoj politike informacijske sigurnosti Politika informacijske sigurnosti ima najdužu tradiciju u državnim sektorima razvijenih država svijeta. Temeljni cilj te politike danas, u osnovi je isti kao i prije pedesetak godina osigurati minimalne sigurnosne kriterije prilikom postupanja s klasificiranim podacima u tijelima državne uprave Tradicionalna politika informacijske sigurnosti državnog sektora Tipičan način kako se osigurava minimalne sigurnosne kriterije jest uvođenje koncepta klasificiranja, danas gotovo normiranog u svijetu, koje se uobičajeno sastoji od četiri stupnja tajnosti, definirana u smislu štete koju bi prouzročilo neovlašteno otkrivanje tako označenih podataka. Ovaj koncept preuzet je i prilagođen u hrvatskoj regulativi Zakonom o tajnosti podataka (NN 79/07). Takav koncept klasificiranja uobičajeno prati sustav mjera informacijske sigurnosti za svaki stupanj klasificiranja, kakav je u RH razrađen Zakonom o informacijskoj sigurnosti (NN 79/07) i njegovim podzakonskim aktima. Time je uveden novi pristup klasificiranju podataka, u odnosu na pristup koji je prije bio na snazi temeljem Zakona o zaštiti tajnosti podataka (NN 108/96). Ključna razlika ovog novog koncepta je u ukidanju prijašnjih vrsta tajnosti (državna, vojna, službena) te uvođenju jedinstvenog četvero-stupanjskog sustava klasifikacije, neovisno o tome da li je sadržaj klasificiranog podatka vojne ili civilne naravi, već Travanj od 37

4 isključivo analizirajući razinu štete koju bi neovlašteno otkrivanje takvog podatka prouzročilo po zakonom zaštićene vrijednosti. Zakonom su uvedena određena ograničenja pa se tako klasificirati mogu samo podaci iz djelokruga državnih tijela u područjima obrane, sigurnosno-obavještajnog sustava, vanjskih poslova, javne sigurnosti, kaznenog postupka te znanosti, tehnologije, javnih financija i gospodarstva, i to samo ako su od sigurnosnog interesa za Republiku Hrvatsku. Određivanje stupnja štete od neovlaštenog otkrivanja definira stupanj tajnosti: - VRLO TAJNO (VT) - neovlašteno otkrivanje nanijelo bi nepopravljivu štetu nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske; - TAJNO (T) neovlašteno otkrivanje teško bi naštetilo nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske; - POVJERLJIVO (POV) neovlašteno otkrivanje naštetilo bi nacionalnoj sigurnosti i vitalnim interesima Republike Hrvatske; - OGRANIČENO (OGR) neovlašteno otkrivanje naštetilo bi djelovanju i izvršavanju zadaća državnih tijela u okviru obavljanja poslova u područjima u kojima je zakonom omogućeno klasificiranje podataka. U okviru nacionalne sigurnosti i vitalnih interesa RH, definirane su osobito sljedeće vrijednosti: - temelji Ustavom utvrđenog ustrojstva Republike Hrvatske, - neovisnost, cjelovitost i sigurnost Republike Hrvatske, - međunarodni odnosi Republike Hrvatske, - obrambena sposobnost i sigurnosno-obavještajni sustav, - sigurnost građana, - osnove gospodarskog i financijskog sustava Republike Hrvatske, - znanstvena otkrića, pronalasci i tehnologije od važnosti za nacionalnu sigurnost Republike Hrvatske. Stoga, klasificiranje vrše zakonom ovlaštena državna tijela, kada u okviru poslova iz svoje nadležnosti, utvrde moguću štetu od otkrivanja podataka po vrijednosti definirane zakonom. U okviru procesa klasificiranja državna tijela su podijeljena u dvije skupine koje mogu klasificirati svim stupnjevima tajnosti i ona koja mogu klasificirati samo stupnjevima tajnosti POV i OGR. Pri tome, ostala tijela državne uprave, kao i tijela lokalne vlasti i pravne osobe s javnim ovlastima, mogu biti samo primatelji, tj. korisnici klasificiranih podataka. Za znanstvene ustanove, zavode i druge pravne osobe, koje rade na projektima, pronalascima, tehnologijama i drugim poslovima od sigurnosnog interesa za Republiku Hrvatsku, klasificiranje provode zakonom ovlaštena državna tijela, nadležna po određenoj problematici Razvoj suvremene politike informacijske sigurnosti Opisani koncept klasificiranja podataka temelji se na metodi široko prihvaćenoj u demokratskim državama svijeta u razdoblju 60-tih i 70-tih godina prošlog stoljeća. Normizacijom koja je nastala širokim prihvaćanjem ove četvero-stupanjske metode klasificiranja temeljene na stupnju štete od neovlaštenog otkrivanja klasificiranog podatka, otvorio se prostor za sadržajno usklađivanje odredbi politike informacijske sigurnosti u različitim državama. Proces sadržajnog usklađivanja politike informacijske sigurnosti vremenom je iskristalizirao pet, danas redovito primjenjivanih područja informacijske sigurnosti u državnoj upravi: sigurnosna provjerenost osoba, fizička sigurnost, sigurnost Travanj od 37

5 podataka, sigurnost informacijskih sustava (INFOSEC 1 ) i sigurnost poslovne suradnje, kako je propisano i u RH Zakonom o informacijskoj sigurnosti (NN 79/07). Ovaj proces sustavne razrade, sadržajnog oblikovanja i normiranja politike informacijske sigurnosti, započet još 70-tih godina prošlog stoljeća, utjecao je na niz drugih procesa koji su u konačnici rezultirali nekim, danas široko primjenjivanim međunarodnim normama, kao što su ISO/IEC paleta normi informacijske sigurnosti ili norma ISO/IEC za evaluaciju proizvoda i sustava informacijske tehnologije s aspekta sigurnosti informacijske tehnologije [1] (Sl.1.). Sl.1. Razvoj politike i normi informacijske sigurnosti Problematika razvoja sigurnosne politike, ali i metoda sigurnosne evaluacije, tako su od samog početka normizacije područja informacijske sigurnosti u državnoj upravi, bile u središtu interesa najrazvijenijih država svijeta. Normizacija nacionalne politike informacijske sigurnosti u razvijenim državama svijeta uvelike je utjecala na zajedničku političko-obrambenu organizaciju tih država NATO. Suvremena sigurnosna politika NATO-a, koja se oblikovala tijekom 90-tih godina prošlog stoljeća, utjecala je u najvećoj mjeri i na današnju sigurnosnu politiku Europske unije, čiji je ozbiljniji razvoj započet na prijelazu stoljeća, a svoje konačno oblikovanje bi trebala zadobiti idućih godina, slijedom redefiniranja prioriteta EU-a u novom Lisabonskom ugovoru. Najveći utjecaj na međunarodnu normizaciju informacijske sigurnosti, imao je razvoj politike informacijske sigurnosti u Velikoj Britaniji, koji je, iako proizašao iz državne uprave, uvelike nadilazio njene okvire. Taj razvoj je sredinom devedesetih godina prošlog stoljeća rezultirao dokumentom najbolje prakse informacijske sigurnosti, koji je nadležno ministarstvo (Department of Trade and Industry DTI) uz pomoć nacionalnog tijela za normizaciju (British Standards Institute), 1995.g. utvrdilo kao britansku nacionalnu normu BS Već pet 1 Nastao u okviru brzog razvoja tehnologije na prijelazu stoljeća, spajanjem tradicionalnih tehničkih sigurnosnih područja COMSEC (Communication Security), TECSEC (Technical Security) i COMPUSEC (Computer Security) Travanj od 37

6 godina kasnije, ISO/IEC je ovu normu prihvatio kao međunarodnu normu ISO/IEC 17799:2000, čime je otvoren put i za, nešto kasnije nastao, drugi dio britanske norme, BS , koji sadržava specifikaciju upravljanja sustavom informacijske sigurnosti i osnova je za certificiranje sustava upravljanja informacijske sigurnosti (Information Security Management System ISMS). Na sličan način su norme za sigurnosnu evaluaciju IT proizvoda i sustava, poznatije pod nazivom Common Criteria for Information Technology Security Evaluation (CC), čiju je izradu, na temelju europske ITSEC norme te nekih nacionalnih normi uključenih zemalja, inicirala grupa razvijenih zemalja svijeta (Kanada, Francuska, Njemačka, Nizozemska, Velika Britanija i SAD). ISO/IEC je preuzeo ovu normu i objavio ju 1999.g. kao međunarodnu normu ISO/IEC koja se sastoji iz tri dijela [7]. Pored navedenih direktnih utjecaja pri razvoju spomenutih međunarodnih normi informacijske sigurnosti, suvremena politika informacijske sigurnosti sučeljava se s procesima razvoja informacijskog društva. Pri tome oba ključna utjecaja za razvoj informacijskog društva, brzi razvoj komunikacijske i informacijske tehnologije, kao i globalizacija društva i sveprisutnost Interneta, sa svim svojim utjecajima na posebne vrste podataka koje su od značaja za informacijsku sigurnost, otvaraju čitav niz novih inicijativa prikazanih na desnoj strani Sl.1. Opisana međunarodna normizacija područja informacijske sigurnosti, jedna je od tih značajnih inicijativa. Nadalje, tu su inicijative koje su nužne pri razvoju temelja informacijskog društva, a kojima se nastoje postići sigurnosni uvjeti tipični za tradicionalno društvo. Činjenica da informacijsko društvo obuhvaća sva tri čimbenika suvremenog društva, državnu upravu, poslovni sektor i građanstvo u cjelini, uvodi još jednu nužnu komponentu sigurnosne politike, javno-privatno partnerstvo. Upravo u programima EU-a ove inicijative su najvidljivije [3][4] Minimalni sigurnosni kriteriji i upravljanje rizikom Tradicionalna sigurnosna politika, koja je nastajala u državnim upravama razvijenih zemalja u razdoblju do 90-tih godina prošlog stoljeća, redovito je bila utemeljena na dva ključna elementa: 1. klasifikacija podataka na više razina (uobičajeno četvero-stupanjski sustav klasifikacije temeljen na stupnju štete od neovlaštenog otkrivanja za zakonom zaštićene vrijednosti); 2. utvrđeni skup minimalnih mjera informacijske sigurnosti za svaki pojedini stupanj tajnosti klasificiranog podatka. To znači da utvrđena razina klasifikacije podatka određuje minimalni skup zaštitnih mjera koji se mora primjenjivati na podatak označen pripadnim stupnjem tajnosti. Na taj način svaki vlasnik klasificiranog podatka kao i svaki korisnik klasificiranog podatka, mora primjenjivati iste i ujednačene mjere informacijske sigurnosti, propisane na razini cijele državne uprave. Jedan od najranijih pokušaja uvođenja upravljanja rizicima informacijske sigurnosti datira iz 70-tih godina prošlog stoljeća, kad je Nacionalni zavod za norme SAD-a (danas National Institute of Standards and Technology NIST) objavio FIPSPUB-31, Fizička sigurnost i upravljanje rizicima u automatskoj obradi podataka (1974.g.). Ipak, tek tijekom 90- tih godina prošlog stoljeća, u područje informacijske sigurnosti u uporabu se sve više uvode različite metode upravljanja rizikom informacijske sigurnosti. Najveći utjecaj na norme u području upravljanja rizikom imao je financijski sektor. To je prvenstveno proizašlo iz činjenice da je financijski sektor, oduvijek tehnološki napredan, prednjačio i u uvođenju internetskih usluga i internetskom poslovanju. Na taj način su i mjere informacijske sigurnosti Travanj od 37

7 u financijskom sektoru morale sustavno obuhvatiti, ne samo tradicionalno prisutne aspekte ljudi i organizacije, već i visoko zastupljenu tehnologiju o kojoj ovisi cjelokupni poslovni proces svake financijske institucije. Pri tome su metode upravljanja rizicima tradicionalna osnova upravljanja bankarskim institucijama pa su se prirodno proširile sa financijskih na operativne rizike. Pri tome, za razliku od državne uprave koja uobičajeno klasificira podatke sa četiri stupnja tajnosti, financijski sektor kao i općenito poslovni sektor u cjelini, klasifikaciju provodi na znatno jednostavniji način. Tako se najčešće razlikuju samo vrste podataka, kao što su osobni podaci, poslovna tajna (usporediva s klasificiranim podatkom), ili primjerice osjetljivi podaci (usporedivi s podacima označenim Neklasificirano u državnoj upravi). No, s druge strane, ovisnost financijskih institucija o kontinuitetu poslovnih procesa barem je jednako značajna kao i povjerljivost podataka u državnoj upravi. Takvi, različiti zahtjevi, inherentni samim poslovnim procesima, koji su bitno različiti u financijskom i poslovnom sektoru od onih u državnoj upravi, doveli su i do različitih smjerova razvoja normi informacijske sigurnosti u državnoj upravi i poslovnom sektoru. Upravljanje rizicima informacijske sigurnosti tako se nametnulo kao značajan zahtjev kojim se odgovara na svojstvo raspoloživosti, kako informacijskih sustava tako i podataka, odnosno na kontinuitet poslovanja, ali i na činjenicu da je poslovni sektor više usredotočen na poslovne procese, a manje na pojedine vrste tajnih podataka. To znači da, za razliku od državnog sektora u kojem je objekt zaštite klasificirani podatak, poslovni sektor štiti informacijska imovinu u širem smislu. S druge strane, tradicionalna sigurnosna politika državne uprave formirala je svoje temelje u doba Hladnog rata, kada je sustav prijetnji bio relativno jasno definiran i simetričan (simetrične prijetnje). Posljedica toga je da se promjene tradicionalne sigurnosne politike i postupno kombiniranje metoda minimalnih sigurnosnih kriterija i procjene rizika, počinju postupno uvoditi na prijelazu stoljeća, kako bi se odgovorilo novim, asimetričnim prijetnjama. Pri tome se danas asimetričnim općenito smatra borba slabijeg i jačeg, netradicionalnog i tradicionalnog i sl. [5]. U teoriji ratovanja, asimetričnost je poznata odavno (npr. Američki rat za nezavisnost), no nakon završetka Hladnog rata ova forma ratovanja postaje pretežita u svijetu. Pri tome, u isto vrijeme, terorističke prijetnje koje se šire globaliziranim svijetom, predstavljaju asimetrične prijetnje u znatno širem smislu od vojnog prijetnje nacionalne sigurnosti, ekonomske i društvene dobrobiti. Ubrzani tehnološki razvoj, praćen sveprisutnim Internetom, pridružuje konceptu asimetričnih prijetnji i nove tehnološke, odnosno kibernetičke forme prijetnji, također asimetričnih obilježja. Uvođenje procesa upravljanja rizicima u državnoj upravi najprimjetnije se događa u području sigurnosti informacijskih sustava, gdje na prijelazu stoljeća više nije bilo moguće voditi sigurnosnu politiku izoliranih informacijskih sustava 2, na način kakav je bio koncipiran u 60-tim godinama prošlog stoljeća. Promjene u razvoju tehnologije, liberalizacija telekomunikacijskog sektora, kao i sveprisutnost Interneta, promijenile su obilježja tradicionalnog pojma izoliranosti klasificiranih informacijskih sustava (umjesto fizičke, logička izolacija), što je, s jedne strane, otvorilo niz ranjivosti današnjih klasificiranih informacijskih sustava (npr. problem programskih zakrpa), te ih u određenoj mjeri izložilo suvremenim prijetnjama (npr. virusi). Iako se i ove suvremene prijetnje mogu svrstati u karakteristične skupine otkaza, nezgoda i napada, specifičnost je da moramo jasno razlikovati dvije važne kategorije prijetnji informacijskih sustava u odnosu na tradicionalno poimanje: nestrukturirane prijetnje (hakeri, pojedinci) i strukturirane prijetnje (strane države, terorističke i kriminalne organizacije). Ove prijetnje je potrebno promatrati u kontekstu okolnosti nastalih nakon završetka Hladnog rata, kontekstu kibernetičkog prostora bez političkih i geografskih granica, s anonimnim počiniteljima novih kaznenih djela, brzim razvojem, s jedne strane tehnologije sa svim svojim unutarnjim ranjivostima, te s druge strane alata i tehnika za iskorištavanje ovih 2 Air-gap, informacijski sustavi bez postojanja fizičke veze s vanjskim svijetom, danas se ovaj pojam koristi i za klasificirane informacijske sustave bez logičke veze s vanjskim informacijskim servisima Travanj od 37

8 ranjivosti, lakom dostupnošću i rasprostranjenosti alata za napade, te naročito mogućnošću automatiziranih metoda kibernetičkih napada. Sve ovo, u konačnici rezultira činjenicom da na ekspertno-analitičkoj razini nije moguće predvidjeti vjerojatnost kibernetičkih napada, niti općenito asimetričnih prijetnji, kao što je to bio slučaj sa tradicionalnim, simetričnim sigurnosnim prijetnjama. U takvoj situaciji tradicionalna politika informacijske sigurnosti u državnoj upravi, utemeljena na konceptu minimalnih sigurnosnih kriterija (engl. Baseline Approach), koji su usko povezani sa stupnjevima tajnosti klasificiranih podataka, pribjegava selektivnoj primjeni metoda upravljanja rizikom. To znači da se upravljanje rizikom primjenjuje u određenim područjima informacijske sigurnosti (npr. sigurnost informacijskih sustava, fizička sigurnost, sigurnost podataka i sl.) ili na određenim razinama (npr. okosnica računalne mreže i najvažniji informacijski sustavi). Na taj način se selektivno primjenjuje metoda upravljanja rizikom, u kombinaciji s trajno prisutnim minimalnim sigurnosnim kriterijima po svim područjima informacijske sigurnosti. S obzirom da je ažuriranje politike informacijske sigurnosti uobičajeno jedan do dva puta godišnje, pojedini sigurnosni elementi koji se kroz upravljanje rizicima pokažu kao kvalitetna rješenja, uključuju se po potrebi u minimalne sigurnosne kriterije pojedinih područja informacijske sigurnosti. U osnovi, koncept minimalnih sigurnosnih kriterija poznat je i u privatnom sektoru kroz princip primjene najbolje prakse. Primjerice i danas najšire korištena paleta normi informacijske sigurnosti ISO/IEC 27000, nastala je 1995.g. kao BS (kasnije ISO 17799), odnosno kao skup najboljih praksi, koji u početku i nije bilo moguće certificirati, jer je BS , kao norma za provedbu certifikacije nastao tek 1998.g. Potrebno je uočiti da koncept minimalnih sigurnosnih kriterija ne ide za tim da rizike postavi u korelaciju sa vrijednošću imovine, već umjesto toga traži identificiranje i postavljanje predefiniranih sigurnosnih kontrola ili zaštita u procese. Kako se te sigurnosne kontrole određuju? U osnovi postoje dva modela, onaj koji je nastao eksplicitnim propisivanjem i uobičajen je za državnu upravu (politika informacijske sigurnosti državne uprave), te drugi koji se koristi izvan državne uprave i temelji na principima najbolje prakse. Iz različitih normi najbolje prakse, kao što je opisani primjer s normom ISO 17799, odabiru se kontrole koje se implementiraju, a procjena se vrši usporedbom sa sličnim tvrtkama u poslovnoj grani kojom se određena tvrtka bavi. Potrebno je napomenuti da su minimalni sigurnosni kriteriji, kao i upravljanje rizicima, usko povezani s dva važna regulativna pojma: Due Care i Due Diligence. Pri tome Due Care znači zakonsku odgovornost pravne osobe za primjerenu pažnju u provedbi sigurnosnih propisa (engl. Due Care / Duty of Care), koja se tipično dokazuje provedbom relevantnih standarda informacijske sigurnosti (najbolje prakse), čime se izbjegava eventualna odgovornost pravne osobe za određeni sigurnosni problem koji je primjerice rezultirao štetom po korisnike. Može se reći da su minimalni sigurnosni kriteriji u stvari jedna vrsta interpretacije zahtjeva o primjerenoj pažnji u provedbi sigurnosnih propisa. Due Diligence predstavlja zakonsku odgovornost pravne osobe za kontinuirano istraživanje i razumijevanje rizika s kojima se tvrtka suočava (engl. Due Diligence / Duty of Diligence), čime se primjerice propisuje direktna odgovornost osoba u upravi tvrtke za poslovanje tvrtke (regulativa korporativnog upravljanja), a obveza se realizira primjenom odgovarajuće metode upravljanja rizicima. Svrha je zaštita svih zainteresiranih strana u poslovanju tvrtke (vlasnici, zaposlenici, kooperanti, korisnici, ). Slično kao i za Due Care koncept, može se i ovdje reći da je provođenje upravljanja rizikom u stvari jedna vrsta interpretacije zahtjeva korporativne odgovornosti u provedbi sigurnosnih propisa. Travanj od 37

9 2. Osnovni pojmovi i koncepti upravljanja rizikom U ovom poglavlju bit će razmotrena značajnija obilježja različitih koncepata i metoda upravljanja rizikom koje se koriste u području informacijske sigurnosti. Temeljni princip u metodama upravljanja rizikom je taj da odgovornost treba pridružiti onom organizacijskom entitetu koji je najbolje pozicioniran za upravljanje rizikom. U protivnom dolazi do neuravnoteženih inicijativa koje mogu onemogućiti prihvaćanje logičnih protumjera za umanjivanje rizika [6]. Primjeri u praksi dobro pokazuju taj problem. Tako recimo problem sigurnosti bankomata nije rješiv ukoliko se banke ne utvrde odgovornim za kartične prijevare. Ukoliko je teret dokazivanja prijevara na krajnjem korisniku, banka nije motivirana za sigurnosna ulaganja. Praksa pokazuje da je mehanizam pravilnog određivanja odgovornosti za rizike (pravna odgovornost) puno uspješniji od detaljnog regulativnog obvezivanja (normiranje), jer čini organizaciju (pravnu osobu) poslovno odgovornom, dok u ovom drugom slučaju obično samo jedan segment organizacije (organizacijska jedinica) biva tek tehnički odgovoran za provedbu određene norme, ali ne i za stvarne posljedice rizika po poslovanje, odnosno korisnike. Drugi primjer su trendovi regulative elektroničkih komunikacije u EU zemljama, kao i u RH, gdje se vidi pomak u postavljanju odgovornosti na operatore pojedinih javnih elektroničkih mreža, odnosno davatelje Internet pristupa, primjerice u obvezama filtriranja neželjene elektroničke pošte (engl. spam). Loša podjela odgovornosti bila bi primjerice u prevenciji distribuiranih napada onemogućavanjem usluga (DDOS), kada bi se odgovornim proglasili krajnji korisnici. Prosječan krajnji korisnik nema znanja niti mogućnosti boriti se sa ovakvim napadom. Problem reguliranja ovih pitanja ostaje prisutan jer nije lako odrediti optimalnu ravnotežu između tehničkih i regulativnih mehanizama. Primjerice koji omjer preventivnih mjera i filtriranja sadržaja propisati, ili koliko filtriranja je u obvezi raditi mreža izvor na svom odlazu, a koliko mreža cilj na svom dolazu, ili pak ciljni sustav elektroničke pošte. Nadalje, postoji problem asimetričnih informacija poznat iz ekonomije, koji se manifestira u području informacijske sigurnosti, primjerice u sigurnosti programskih produkata. Paradoks leži u činjenici da nema dobrog načina kojim bi korisnici razlikovali sigurne od nesigurnih proizvoda te slijedom toga proizvođači nisu motivirani investirati u sigurnost proizvoda. Certifikacijske procedure kao što je Common Criteria (CC) [7], bile su rani pokušaj odgovora na ovaj problem. No zbog dugotrajnog procesa certifikacije povezanog s visokim troškovima te nemogućnošću praćenja dinamike tržišta novih proizvoda, rijetke tvrtke se, samo za manji broj proizvoda, odlučuju upustiti u proces certificiranja po Common Criteria normi, odnosno normi ISO/IEC 15408, koja je u međuvremenu nastala preuzimanjem CC norme. Spomenuta problematika asimetričnih informacija [8] i paradoks kao što je prikazani slučaj motivacije za proizvodnju sigurnih proizvoda, spada u područje sigurnosne ekonomike [9], grane koja povezuje problematiku sigurnosti i ekonomije i koja je tijekom posljednjih nekoliko desetljeća razvoja tehnologije i Interneta izgubila na važnosti, ali se brzo i uspješno revitalizira posljednjih godina. Pored već spomenutog problema odgovornosti banaka ili krajnjih korisnika za kartične prijevare, potrebno je napomenuti da na temeljni princip metoda upravljanja rizikom u smislu pridruživanja odgovornosti organizacijskom entitetu koji je najbolje pozicioniran za upravljanje rizikom, bitno utječu i prijetnje. Tako u slučaju suvremenih kartica za financijske transakcije koje koriste kombinaciju čip i pin zaštite imamo primjer potencijalne ranjivosti (mogućnost provedbe transakcije karticom bez korištenja pina) koja je dokazana prema [10] i koja dodatno problematizira područje priznavanja šteta između trenutka nestanka kartice i poništenja kartice od banke koja ju je izdala, a na zahtjev korisnika. Ovo je vremenski prozor koji je u mnogim slučajevima u odgovornosti krajnjeg korisnika nestale kartice. Travanj od 37

10 Složenost organizacije, tehnologije, kao i pravnih odgovornosti, čini suvremeno informacijsko društvo osjetljivim na čitav niz povezanih prijetnji i ranjivosti koje se dinamički mijenjaju zajedno sa stalnom promjenom sigurnosnog okruženja [11]. Odgovore na ova pitanja prijetnji i ranjivosti, uglavnom nije moguće dati niti kroz tehnološka, niti kroz organizacijska, a niti kroz pravna rješenja, već isključivo kombinacijom tih rješenja. Stoga su u području informacijske sigurnosti sve više primjenjivana različita rješenja temeljena na upravljanju rizicima, čiji je osnovni cilj procijeniti konkretne rizike te ih na odgovarajući način obraditi Taksonomija osnovnih pojmova u upravljanju rizikom Upravljanje rizikom (engl. Risk Management) je pojam koji obuhvaća cjelokupni kontinuirani proces koordiniranih aktivnosti za usmjeravanje i kontrolu organizacije u odnosu na rizik. Procjenjivanje rizika (engl. Risk Assesment) je sveukupni proces analize rizika i njihovog vrednovanja. Služi za određivanje vrijednosti imovine, frekvencije prijetnji, procjenu utjecaja na imovinu i drugih faktora vjerojatnosti događanja. Analiza rizika (engl. Risk Analysis) pruža osnovu za vrednovanje rizika, obradu i prihvaćanje rizika. Povezuje prijetnje, ranjivosti i imovinu, utvrđuje potencijal i prirodu neželjenog događaja, identificira i procjenjuje protumjere za smanjivanje rizika. Vrednovanje rizika (engl. Risk Evaluation) je proces usporedbe procijenjenog rizika i danih kriterija rizika kako bi se odredilo značenje rizika u konkretnom okruženju. Kriteriji rizika (engl. Risk Criteria) su referentni uvjeti prema kojima se procjenjuje značenje rizika, a mogu uključivati pridružene troškove, zakonske zahtjeve, socioekonomska gledišta i okolinu, druge podatke koji se tiču zainteresiranih strana, prioritete i ostale ulazne podatke potrebne za procjenjivanje. Informacijska imovina (engl. Information Asset) može biti bilo koje sredstvo koje se koristi za obradu, pohranu i komuniciranje s podacima. Postoji više elemenata vrijednosti imovine, direktnih i indirektnih, koje treba razmotriti: vrijednost zamjenskog sredstva ili popravka, trošak zamjene podataka na informacijskom sredstvu, trošak zamjene programske podrške, skup troškova povezanih s gubitkom povjerljivosti, raspoloživosti i cjelovitosti podataka. Na taj način računa se vrijednost imovine (engl. Asset Value). Prijetnja (engl. Threat) je potencijalni uzrok slučaja koji može naškoditi sustavu ili organizaciji. Ranjivost (engl. Vulnerability) je slabost informacijskog uređaja ili grupe uređaja koje može iskoristiti jedna ili više prijetnji. Rizik (engl. Risk) je kombinacija vjerojatnosti događaja i njegovih posljedica. Najbolje se opisuje skupinom pitanja: 1. Što se može dogoditi? (Što je prijetnja?) 2. Koliko teško može biti? (Koliki je utjecaj ili posljedica?) 3. Koliko često se može dogoditi? (Kolika je frekvencija?) 4. Koliko su pouzdani odgovori na prva tri pitanja? (Koliki je stupanj izvjesnosti?) Zaštitna protumjera ili sigurnosna kontrola (engl. Countermeasure, Security Control) predstavlja mjeru smanjenja rizika otkrivanjem, prevencijom, odvraćanjem ili korekcijom. Jednokratni očekivani gubitak (engl. Single Loss Expectancy SLE) određuje novčani gubitak za svaku pojavu prijetećeg događaja. Računa se kao umnožak vrijednosti imovine (engl. Asset Value - AV) i faktora izloženosti (engl. Exposure Factor - EF): SLE = AV * EF (1) Travanj od 37

11 Faktor izloženosti (engl. Exposure Factor EF) predstavlja veličinu gubitka ili utjecaja na vrijednost imovine. Izražen je u formi očekivanog postotka gubitka vrijednosti imovine pri djelovanju prijetnje. Godišnja učestalost pojave prijetnji (engl. Annualized Rate of Occurence - ARO) predstavlja frekvenciju kojom se očekuje pojava prijetnji na godišnjoj razini. Godišnji očekivani gubitak (engl. Annualized Loss Expectancy - ALE) određuje godišnji novčani gubitak za procjenu pojave prijetećeg događaja. Računa se kao: ALE = SLE * ARO (2) Obrada rizika (engl. Risk Treatment) je proces obrade, odabira i primjene mjera za promjenu rizika. Koriste se odluke o izbjegavanju rizika (engl. Risk Avoidance), o smanjenju rizika (engl. Risk Reduction), prihvaćanju rizika (engl. Risk Acceptance) ili prijenosu rizika (engl. Risk Transfer). Izbjegavanje rizika (engl. Risk Avoidance) je odluka da se ne ulazi u rizičnu situaciju ili akcija kojom se izbjegava rizična situacija. Smanjenje rizika (engl. Risk Reduction) predstavlja poduzete akcije u cilju smanjenja vjerojatnosti rizika i/ili smanjenja negativnih posljedica rizika (utjecaj na imovinu). Prihvaćanje rizika (engl. Risk Acceptance) je odluka o prihvaćanju procijenjenog i analiziranog rizika. Prijenos rizika (engl. Risk Transfer) je dijeljenje tereta gubitka nastalih u svezi s rizikom s drugom stranom Problem subjektivnosti metoda procjenjivanja rizika U osnovi je proces upravljanja rizikom sličan procesu upravljanja projektom. Tako se na sličan način kao i u upravljanju projektima, određuje niz elemenata koje moraju razumjeti i podržati sve zainteresirane strane kako bi se projekt mogao odvijati. To su elementi kao što su pozadina, svrha, okvir, ograničenja, ciljevi, odgovornosti, ili pristup projektu. Upravo stoga i postoje problemi kod korištenja kvalitativnih metoda upravljanja rizikom, koje nisu pogodne za financijske izračune kakvi se očekuju od osoba odgovornih za donošenje odluke o financiranju projekata u tvrtki. S druge strane, postoji čitav niz objektivnih poteškoća u prikupljanju podataka za upravljanje rizikom, koji rezultiraju subjektivnim elementima u procesu upravljanja rizikom, što u osnovi nije karakteristično za metode upravljanja projektima. Najpoznatiji parametar u procesu upravljanja rizikom je ALE, godišnji očekivani gubitak, koji se računa na temelju faktora SLE i ARO. Iako davno uveden, ALE izračun ima niz nedostataka kao što je problem da ne uzima u izračun učinkovitost kontrola i faktor izvjesnosti događaja. Nadalje, ALE ne može razlikovati između prijetnji niske frekvencije/visokog utjecaja i prijetnji visoke frekvencije/niskog utjecaja. ALE izračun navodi na razmišljanje o valutnim iznosima prosječne vrijednosti, unatoč tome što stvarni gubici ne gravitiraju prema prosjeku već prema udaljenim krajevima (događaj se ostvario ili ne, a ne prosječno se ostvaruje s određenim utjecajem ). Nadalje postoji problem nedostatka podataka o frekvenciji prijetnji ili njihovom utjecaju te se tu preporučuje korištenje gotovih tablica, odnosno automatiziranih alata. Opisana nepreciznost ALE izračuna je realni problem, osobito za niske frekvencije prijetnji. Primjerice za ARO = 1/4 = 0.25 (gubitak se događa u prosjeku svake 4 godine), a SLE= Kn (šteta po jednom događanju), slijedi da je ALE= Kn (prosječna godišnja šteta). Korištenjem Poissonove razdiobe [2], može se dobiti razdioba vjerojatnosti za Travanj od 37

12 određeni broj gubitaka u godini, odnosno za vrijednosti k unutar skupa cijelih brojeva {0, 1, 2, } prema (3). (3) Sl. 2. Krivulja Poissonove razdiobe, apscisa je broj događaja, ordinata je vjerojatnost, bojama su prikazani različiti intenziteti događanja Intenzitet događanja λ je u našem slučaju broj događaja u jedinici vremena, tj. ARO, jer se broj događanja normalizira na jednu godinu. Problem nastaje za male vrijednosti intenziteta događanja, odnosno za niske frekvencije prijetnji. U tom slučaju razdioba vjerojatnosti za mogući broj događaja u traženom vremenskom razdoblju (u našem slučaju godina) grupira se s visokom vjerojatnošću prema nula gubitaka i vrlo niskom vjerojatnošću (značajno ispod 0.5) za jedan ili više gubitaka u godini. To znači da je ALE parametar dobiven jednostavnim izračunom preko ARO i SLE parametara može biti pretjerano velik i da plan protumjera koje koštaju godišnje Kn, može biti značajno previsok u odnosu na očekivanja iz razdiobe vjerojatnosti u Tablici 1., te u odnosu na rizik koji organizacija ocijeni kao prihvatljiv. Broj gubitaka u godini Razdioba vjerojatnosti Godišnji gubitak Kn Kn Kn Kn Tablica 1. Poissonova razdioba vjerojatnosti za odabrani slučaj ALE parametra Nepreciznost izračuna za nisku frekvenciju prijetnji zanemarena je zbog jednostavnosti i slikovitosti izabranih veličina ALE, ARO i SLE, no potrebno je napomenuti da uz prikazani problem razdiobe vjerojatnosti, koji ukazuje na očekivanu pogrešku, postoji i dodatni problem teškoće određivanja frekvencije prijetnji. Taj problem se pokušava nadomjestiti normiranim tablicama, odnosno lokalnim iskustvom, ali u većini slučajeva unosi dodatne netočnosti u izračun koji postaje osnova za financijsku opravdanost sigurnosnih kontrola, odnosno općenito zaštitnih protumjera. Potrebno je napomenuti da se prikazana netočnost (potencijalno prevelika Travanj od 37

13 alokacija financijskih sredstava za sigurnosne kontrole) dodatno kumulira i preko ukupnog broja kontrola i prijetnji koje se u određenom sigurnosnom okruženju obrađuju, odnosno ostvaruju Rizik važan za informacijsku sigurnost Upravljanje rizikom u području informacijske sigurnosti u novije vrijeme povezuje se s pojmom operativnog rizika. Iako ne postoji jednoznačna definicija operativnog rizika, najčešće se primjenjuje definicija nastala u okviru Basel II norme, koja opisuje operativni rizik kao rizik gubitka nastao zbog neodgovarajućih unutarnjih poslovnih procesa ili procesa u kojima postoje slabosti ili pogreške, odnosno zbog ljudskog faktora i tehničkih sustava ili zbog vanjskog događaja. Basel norma je vršni dokument sektorske regulative bankarstva, koji u stvari predstavlja međunarodnu bankovnu normu koju je kreirao Bazelski odbor za bankovni nadzor (Basel Committee on Banking Supervision BCBS). BCBS se sastoji od predstavnika središnjih banaka i bankovnih regulatora iz nekoliko EU država, Japana i SAD-a, koji potiču međunarodnu kooperaciju banaka i izdaju smjernice za nadzor banaka. Iako aktualna inačica Basel II norme nije zakon, njegovi zahtjevi preuzimaju se u zakonodavstvima velikog broja država u svijetu (npr. EU direktive 2006/48/EC, 2006/49/EC, koje su obvezujuće za sve države članice EU) i propisuju se kroz različite nacionalne propise koji mogu biti zakoni, uredbe ili pravilnici, odnosno odluke središnjih banaka, kao nadležnih tijela. U RH je preuzimanje Basel II norme utvrđeno donošenjem novog Zakona o kreditnim institucijama (NN 117/08) te čitavim nizom predviđenih podzakonskih akata (npr. Odluka HNB-a o upravljanju rizicima i drugi akti: Definicija operativnog rizika kao rizika od gubitka izdvaja ga od tipičnih financijskih rizika koji su spekulativne prirode, odnosno rizika koji se poduzimaju u smislu ostvarivanja dobiti (npr. kreditni rizik ili valutni rizik). Nadalje, povezanost operativnog rizika s unutarnjim poslovnim procesima, osobama, sustavima i vanjskim događajima može se staviti u određeni odnos s temeljnim konceptima pristupa politici informacijske sigurnosti, odnosno upravljanju informacijskom sigurnošću. Tradicionalni pristup upravljanju informacijskom sigurnošću temelji se na propisivanju minimalnih sigurnosnih mjera, koji su utvrđeni prema stupnjevima tajnosti podataka. To znači da se mjere zaštite primjenjuju na klasificirani podatak u bilo kojem obliku, odnosno na objekte (tehnologija i procesi) i subjekte (osobe) koji koriste ili pristupaju tim klasificiranim podacima. Ovakav pristup se primarno primjenjuje u okviru organizacija koje koriste klasificirane podatke (državni sektor i pravne osobe koje s njim surađuju) te podrazumijeva da je klasificirani podatak isključivi objekt zaštite, a sama metoda se primjenjuje na ljude, organizaciju (procese) i na tehnologiju, kada i ako su u doticaju s klasificiranim podacima [15]. Dakle, može se reći da definicija operativnog rizika u dobroj mjeri odgovara i riziku klasificiranih podataka u državnom sektoru, odnosno tradicionalnom pristupu u kojem se prijetnje promatra kroz skupine nezgoda, otkaza i napada. Metode upravljanja rizicima u okviru suvremenog pristupa upravljanju informacijskom sigurnošću, temelje se na identificiranoj imovini unutar opsega ISMS-a, zatim na identificiranim prijetnjama za tu imovinu, identificiranim ranjivostima koje bi ove prijetnje mogle iskoristiti te na procjeni utjecaja koje gubitak povjerljivosti, cjelovitosti ili raspoloživosti može imati na imovinu. Sigurnosne kontrole (zaštitne mjere) štite identificiranu imovinu, tj. vrijednosti koje je organizacija identificirala u okviru opsega ISMS-a. I ovdje se može reći da definicija operativnog rizika odgovara metodi razvoja ISMS-a. Travanj od 37

14 U osnovi ovako definirani operativni rizici predstavljaju sveobuhvatno viđenje prijetnja bilo da nastaju u okviru unutarnjih slabosti organizacije, zbog prirodnih nepogoda ili drugih vanjskih prijetnji te uslijed namjernog ili nenamjernog napada. Upravljanje operativnim rizikom znači balansiranje između rizika koji je povezan s nekom aktivnošću te rizika koji je povezan s neprovođenjem te aktivnosti. Nadalje, pojedinačni rizici imaju međusobnu interakciju na složen način te ublažavanje jednog rizika gotovo sigurno uvećava neki drugi. Stoga je nužna široka slika cjelokupnog poslovanja u kojem se upravlja operativnim rizikom [14]. Kao primjeri operativnog rizika mogu se navesti karakteristični rizici: 1. Rizik informacijske sigurnosti, povezan s neovlaštenim otkrivanjem, modificiranjem ili gubitkom raspoloživosti podataka koji imaju svojstvo povjerljivosti; 2. Rizik održavanja i operativnog okruženja poslovnog objekta, povezan s upravljanjem kontinuitetom poslovanja i održavanjem IT-a; 3. Rizik sukladnosti s legislativom i regulativom, povezan s propisanim obavezama iz područja informacijske sigurnosti; 4. Rizik klimatoloških uvjeta i vremenskih nepogoda, povezan s upravljanjem kontinuitetom poslovanja. Potrebno je napomenuti da, ovisno o primijenjenoj metodi ili internoj prosudbi pojedine organizacije, skup operativnih rizika može biti vrlo šarolik, ali se u osnovi uvijek radi o istoj skupini neprofitnih rizika, odnosno rizika koji su prijetnja za gubitke organizacije. Tako postoje detaljnije ili manje detaljne podjele operativnih rizika po vrsti, pri čemu se mogu posebno naglašavati i tretirati područja kao što je: rizik okvira upravljanja (neadekvatna infrastruktura upravljanja rizicima), reputacijski rizik institucije (javno mnijenje, mišljenje korisnika, reputacija na tržištu, ), rizik od kriminalnih i nedozvoljenih radnji (sve vrste kibernetičkog kriminala, ), rizik lanca snabdijevanja (prekidi, loša usluga ili upravljanje), kulturološki rizik (neadekvatan tretman kulturoloških sadržaja koji utječu na zaposlenike kao jezik, religija, način oblačenja, ), geopolitički rizik (problemi u nekim državama zbog političke nestabilnosti, loše infrastrukture ili kulturoloških razlika), rizik ljudskog potencijala (pronalaženje, razvoj i zadržavanje zaposlenika, zaštita od seksualne i rasne netrpeljivosti). U osnovi se većina ovih prilično detaljno razrađenih rizika može podvesti pod jedan od prije istaknuta četiri rizika pa način pristupa operativnom riziku uglavnom ovisi o vrsti organizacije koja provodi upravljanje rizikom (veličina, područje djelovanja, tržište, ) Modeliranje sigurnosnog okruženja prilikom procjenjivanja rizika Gledano s aspekta minimalnih sigurnosnih kriterija, najvažnija razlika pri korištenju metoda upravljanja rizikom jest u načinu izbora sigurnosnih kontrola. Izbor se vrši temeljem procjenjivanja i analize rizika, dakle vjerojatnosti ostvarenja i razine utjecaja na imovinu, pri čemu je potrebno procjenjivati i prijetnje i ranjivosti i utjecaje. Kako bi se odabrale odgovarajuće sigurnosne kontrole, većina metoda za upravljanje rizikom utvrđuje odgovarajuće modele prijetnji [14] [16]. Ovaj proces je od velike važnosti jer se na njemu temelji ostvarenje sigurnosnih kontrola. Gledajući s aspekta privatnog sektora ovaj mehanizam najčešće služi i kao opravdanje investicije u sigurnosne kontrole, a gledajući s aspekta državnog sektora ovaj mehanizam je važan jer mora osigurati konzistentnost odabranih sigurnosnih kontrola, u slučaju kada ne postoje minimalni sigurnosni kriteriji već se sveukupne sigurnosne mjere temelje na procijenjenom riziku. Procjena rizika obuhvaća procjenjivanje prijetnji i ranjivosti, jer se napad događa upravo preko vektora prijetnja-ranjivost. Travanj od 37

15 Pored normi koje u sebi sadrže upravljanje rizikom, kao što je često primjenjivana paleta ISO/IEC ili AS/NZS 4360 (Australija i Novi Zeland), postoje i drugi pristupi koji su specijalizirani za područje modeliranja prijetnji i ranjivosti, kao što su OCTAVE, CVSS, Microsoftov Threat Risk Modeling sa STRIDE i DREAD metodama, ili SABSA model [14][16]. Na Sl.2. prikazan je općeniti periodički proces procjenjivanja sigurnosnog rizika sa svojim glavnim sastavnicama. U osnovi sve norme koje se temelje na upravljanju rizikom prate faze sa Sl.3. Proces procjenjivanja rizika u funkciji je procesa upravljanja rizicima kao temelja uspostave sustava upravljanja informacijskom sigurnošću (ISMS) prema Sl.4. Sl.3. Općeniti proces procjenjivanja sigurnosnog rizika Sl.4. Petlja povratne veze u upravljanju sustavom informacijske sigurnosti, s naznačenim glavnim fazama upravljanja sigurnosnim rizikom Ranjivosti su na logičkom modelu (Sl.5.) opisane tako da se ostvaruju preko izloženosti imovine određenoj prijetnji, čime nastaje utjecaj ili posljedica određenih razmjera. Procjenjivanje ranjivosti provodi se kroz više izvora, počevši od općih popisa ranjivosti dostupnih kroz norme ili automatizirane alate, preko ranjivosti sustavske i aplikativne programske podrške koju osiguravaju proizvođači ili nezavisne institucije, pa do vlastitog istraživanja i integracije spomenutih metoda. Prisutne su i inicijative na nacionalnoj razini kao što je Nacionalna baza podataka o ranjivostima (National Vulnerabilities Database NVD) u Travanj od 37

16 SAD-u [17], koja u sebi objedinjava različite izvore ranjivosti u informacijskoj tehnologiji (IT). Baza podataka objedinjava sve javno raspoložive izvore o ranjivostima u SAD-u (državne, razvojnih ustanova, industrijske). Utemeljena je na konceptu zajedničkih ranjivosti i izloženosti (Common Vulnerabilities and Exposures CVE) te otvorena za vanjske sudionike u dokumentiranju ranjivosti, pod uvjetima poštivanja zadanih tehničkih zahtjeva (sukladnost specifikacija). Sl.5. Logički model sigurnosnih kontrola NVD prepoznaje i niz drugih otvorenih inicijativa za procjenjivanje ranjivosti, kao što je primjerice Common Vulnerabilities Scoring System CVSS [18]. CVSS je složena metoda koja koristi tri grupe hibridnih kvalitativno-kvantitativnih metrika za opis svake pojedine ranjivosti (Sl.6.). Osnovna grupa metrika opisuje stalna svojstva određene ranjivosti, grupa privremenih metrika opisuje promjenjiva svojstva, a metrika okruženja utvrđuje svojstva koja su tipična za određeno korisničko okruženje. Sl.6. Grupe metrika CVSS metode za opis ranjivosti Ako zanemarimo razvoj u području ranjivosti sustava i proizvoda koji nužno moraju poduzimati proizvođači programske podrške zbog velikog broja propusta i grešaka u svojim proizvodima, može se uočiti da je većina ozbiljnijih strateških razvoja ranjivosti, nastala u okviru akademskog ili državnog sektora, odnosno u suradnji ova dva sektora. Stvaranje boljih Travanj od 37

17 modela ranjivosti, u velikoj je mjeri rezultat pokušaja državnog sektora razvijenih zemalja da doskoče problemu neodređenosti koji postoji u sigurnosnom okruženju [19], kako bi korištenje metoda upravljanja rizikom bilo objektivnije i samim tim prihvatljivije za korištenje u okruženju tradicionalne politike informacijske sigurnosti državnog sektora [15]. Za modeliranje prijetnji često se koriste tradicionalne metode kao što je analiza stabla kvara (Fault Tree Analisys FTA), analiza stabla događaja (engl. Event Tree Analisys ETA), analiza vjerojatnosti rizika (engl. Probabilistic Risk Assesment PRA), analiza otkaza rada i posljedičnih kritičnih efekata (engl. Failure Mode and Effect Criticality Analisys FMECA). Također se koriste popisi prijetnji po kategorijama, odnosno procjenjivanje sukladno jednostavnijim metodama kao što je STRIDE (engl. Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service, Elevation of privileges). Model prijetnji sa Sl.5. treba se dodatno razraditi prema Sl.7. kako bi obuhvatio značajna svojstva elementa prijetnje u ukupnom logičkom modelu sigurnosnog okruženja [14]. Definicija operativnog rizika sama po sebi sugerira četiri vrste prijetnji koje treba razmatrati: prijetnje za osobe, procese, sustave i za vanjske događaje (Tablica 2.). Postoji čitav niz kategorija prijetnji, koje su povezane s jednom ili više temeljnih vrsta prijetnji (regulativna sukladnost, odgovornost za proizvode i usluge, kriminalne i nedozvoljene radnje, terorizam i sl.). Sl.7. Logički model sigurnosne prijetnje Vrste prijetnji Opis domene Određena prijetnja Osobe Maliciozna kršenja ili zanemarivanja interne sigurnosne politike; Ljudske greške. Sadašnji zaposlenici; Prijašnji zaposlenici; Osobe u procesu zapošljavanja. Procesi Slabosti ili nepostojanje procedura; Zaposlenici; Propust u postupanju po definiranim Klijenti; procedurama. Dobavljači; Davatelji usluga; Partneri; Javnost. Travanj od 37

18 Sustavi Vanjski događaji Nepredviđeni kvar tehničkih sustava; Nedovoljna robusnost tehničkih sustava. Prirodne katastrofe; Katastrofe zbog ljudske pogreške; Maliciozne akcije vanjskih aktera; Nemar vanjskih aktera; Legitimne akcije vanjskih aktera. Tehnički kvar sustava u okviru propisane uporabe; Tehnički kvar sustava zbog neadekvatnog dizajna ili loše implementacije. Prirodni događaji; Nesreće; Maliciozni vanjski akteri; Nemarni vanjski akteri; Konflikt poslovnih interesa s vanjskim akterima. Tablica 2. Vrste sigurnosnih prijetnji Logički model sigurnosnih prijetnji sa Sl.7. utvrđuje obilježja sigurnosne prijetnje s obzirom na njene vlastite karakteristike (vrsta, sposobnosti), te s obzirom na specifično okruženje (određenje, motivacija, prilika, zajedno s odgovarajućim inicijatorima te mogućim ometačima i podstrekačima), čineći tako scenarij u kojem se određena prijetnja može realizirati u odnosu na neku ranjivost sa Sl.5., tvoreći tako vektor napada. Primjerice u okviru vanjskih događaja imamo prirodne događaje kao vrstu prijetnji, a primjerice riječnu poplavu kao specifičnu prijetnju, pri čemu lokaciju poslovnog prostora u prizemlju, blizu rijeke, predstavlja ranjivost koju ova prijetnja može iskoristiti. Prijetnje informacijskih sustava promatraju se metodama prilagođenim za praćenje toka podataka i specifičnosti informacijske tehnologije. Jedna od takvih je STRIDE model koju Microsoft koristi u okviru svoje metode modeliranja prijetnji informacijske tehnologije [20]. U tablici 3. prikazana je povezanost prijetnji koje utvrđuje model prijetnji u okviru informacijske tehnologije (IT) sa sigurnosnim kriterijima. Prijetnja Sigurnosni kriterij Engl. Hr. Engl. Hr. Spoofing Prijevare (identiteta) Authentication Autentifikacija Tampering Izmjena podataka Integrity Cjelovitost Repudiation Poricanje aktivnosti Non-repudiation Neporecivost Information disclosure Neovlašteno otkrivanje Confidentiality Povjerljivost Denial of service Onemogućavanje usluge Availability Raspoloživost Elevation of privilege Podizanje privilegija korisnika na sustavu Authorization Tablica 3. STRIDE model prijetnji u IT-u, veza prijetnji i sigurnosnih kriterija Autorizacija Analiza (dekompozicija) informacijskog sustava provodi se na takav način da se sustav prikaže pomoću četiri odabrana elementa dijagrama toka podataka, koji su povezani sa prijetnjama utvrđenim STRIDE modelom. U tablici 4. prikazana su ova četiri elementa koji se koriste u prikazu dijagrama toka podataka informacijskog sustava, kao i njihova veza sa pojedinim STRIDE prijetnjama. Travanj od 37

19 Element S T R I D E Vanjski entitet X X Proces X X X X X X Pohrana podataka X X X X Tok podataka X X X Tablica 4. Povezanost elemenata dijagrama toka podataka sa STRIDE prijetnjama Sl. 8. Slično metodi stabla kvara ili stabla događaja, može se koristiti i stablo prijetnji prema Sl.8. Dio razrade stabla prijetnja za napad prijevarom identiteta (spoofing identity) Na Sl.9. prikazana je dekompozicija jednostavnog primjera informacijskog sustava, preko tablicom 4. utvrđena četiri elementa dijagrama toka podataka. U gornjem dijelu slike prikazana je simbolička shema informacijskog sustava, a u donjem dijelu dijagram toka podataka temeljen na prethodno utvrđena četiri elementa. Sl.9. Dekompozicija informacijskog sustava i prikaz preko dijagrama toka podataka s 4 elementa preko kojih se povezuju prijetnje STRIDE modelom Travanj od 37

20 3. Primjeri korištenja kombinacije minimalnih sigurnosnih kriterija i upravljanja rizikom u okviru politike informacijske sigurnosti 3.1. Politika informacijske sigurnosti u državnoj upravi Karakteristične primjene upravljanja rizikom u državnoj upravi bit će ukratko prikazane kroz područja informacijske sigurnosti u okviru kojih se primjenjuju. U poglavlju 1. prikazana je ukratko koncepcija sigurnosne politike u državnom sektoru i zahtjeva minimalnih sigurnosnih kriterija te razlike u odnosu na koncept upravljanja rizikom koji je temelj suvremenih normi informacijske sigurnosti, primjerice norme ISO/IEC U poglavlju 2. prikazana je osnovna koncepcija suvremenih metoda upravljanja rizikom s naglaskom na modeliranje sigurnosnog okruženja pri procjenjivanju rizika te na tipične probleme subjektivnosti povezane s metodama procjenjivanja rizika. Upravo ta nedovoljna određenost sigurnosnog okruženja i nužnost subjektivnog procjenjivanja rizika, razlog je što se upravljanje rizikom još uvijek nije uvriježilo kao metoda iz koje se generiraju sigurnosni zahtjevi u državnom sektoru, a na način kako se to provodi u okviru normi kao što je ISO/IEC Tako su eksplicitno propisani minimalni sigurnosni kriteriji i dalje temeljni sigurnosni zahtjevi za obveznike propisa o informacijskoj sigurnosti u državnoj upravi, dok se metode upravljanja rizikom, na različite načine koriste kao dodatne metode za optimizaciju sigurnosnih mjera u svakom pojedinom području informacijske sigurnosti, odnosno u određenom sigurnosnom okruženju. U sklopu ovog generalnog određenja prema pristupu upravljanju rizikom u sigurnosnoj politici državne uprave u većini razvijenih zemalja svijeta, postoji i čitav niz metoda temeljenih na upravljanju rizikom, a koje predstavljaju neizostavni dio tradicionalne sigurnosne politike. Ove metode mogu se prepoznati prateći koncepte provedbe informacijske sigurnosti u okviru pet područja informacijske sigurnosti tipičnih za politiku informacijske sigurnosti u državnoj upravi. Upravo to će biti i jedan od predmeta analize trećeg poglavlja Područje sigurnosti podataka Temeljni princip u metodama upravljanja rizikom jeste princip pridruživanja odgovornosti entitetu koji je najbolje pozicioniran za upravljanje rizikom. Ovo vrlo važno pravilo u tradicionalnoj sigurnosnoj politici državnog sektora uobičajeno se provodi na organizacijskoj razini. Cilj implementacije ovog pravila je opća zaštita klasificiranih podataka, ali i uvođenje decentralizacije u odlučivanju o pristupu klasificiranim podacima. U osnovi ovaj model organizacije sastoji se od prepoznavanja vlasnika rizika (izvorni nositelj), delegiranog upravitelja (zainteresirani nositelj) te sigurnosnog savjetnika (stručno osposobljeni savjetnik) [21]. Vlasnik rizika utvrđuje model organizacije u okviru kojega mora definirati rizik, procijeniti razinu rizika koju može tolerirati (engl. Risk Apetite), odrediti delegiranog upravitelja te se na odgovarajući način uključiti u provođenje postupka odabira sigurnosnog savjetnika. Delegirani upravitelj provodi upravljanje rizikom u zadanim granicama tolerancije rizika, pri čemu dobiva kompetentne savjete sigurnosnog savjetnika. Opisani trokut međuodnosa vlasnika rizika, delegiranog upravitelja i sigurnosnog savjetnika može se proširivati po horizontali tako da vlasnik rizika određuje više delegiranih upravitelja, odnosno Travanj od 37

21 po vertikali, tako da se odredi organizacijska hijerarhija kojom upravlja delegirani upravitelj, a paralelno s njom i hijerarhija savjetnika (Sl.10.). Sl. 10. Princip pridruživanja odgovornosti za upravljanje rizikom nekom organizacijskom entitetu Kao primjer može se uzeti i koncept regulative informacijske sigurnosti u državnom sektoru RH, koji prati opisana organizacijska načela upravljanja rizikom. Tako primjerice Zakon o tajnosti podataka (NN 79/07) i Zakon o informacijskoj sigurnosti (NN 79/07) utvrđuju odgovornost središnjeg državnog tijela za informacijsku sigurnost (engl. National Security Authority NSA), Ureda Vijeća za nacionalnu sigurnost (UVNS), za koordinaciju i usklađivanje donošenja i primjene mjera informacijske sigurnosti u RH i u razmjeni klasificiranih i neklasificiranih podataka između RH i stranih država i organizacija. Odgovornost za postupanje s klasificiranim podacima u državnim tijelima prenosi se na čelnike tih tijela. U tu svrhu čelnik UVNS-a kontrolira taj proces delegiranja odgovornosti donoseći pravila za postavljanje savjetnika u državnim tijelima (Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za informacijsku sigurnost, UVNS, NN 100/08). Uloga savjetnika za informacijsku sigurnost u državnim tijelima je dvojaka, jer su oni podređeni čelniku i savjetuju ga u pitanjima informacijske sigurnosti, međutim istovremeno su strukovno podređeni UVNSu, u okviru čega provode unutarnji nadzor o kojem izvještavaju i čelnika državnog tijela i čelnika UVNS-a. Opisani princip pridruživanja odgovornosti za rizik entitetu najbolje pozicioniranom za upravljanje rizika, može se prepoznati i u drugim segmentima politika informacijske sigurnosti. Primjerice, jedan od čestih slučajeva je da se proces upravljanja rizikom provodi u središnjoj instituciji, a distribuirani organizacijski segmenti to provode po potrebi i pod određenim uvjetima, dok redovito moraju provesti definirani skup sigurnosnih mjera. U ovom slučaju, prema terminologiji sa Sl. 10., radi se o procjeni vlasnika rizika za uspostavu sigurnosnih mjera u distribuiranoj jedinici. Ta procjena može ići u smjeru procjenjivanja rizika u središnjoj instituciji i apliciranja rezultata na podružnice u obliku definiranog skupa mjera, ili pak može ići u smjeru delegiranja ovlasti za procjenjivanje rizika u lokalnom okruženju i odlučivanju o primjeni sigurnosnih mjera za smanjivanje tako procijenjenih rizika. Travanj od 37

22 Područje fizičke sigurnosti Pored opisanog koncepta pridruživanja odgovornosti organizacijskim entitetima za upravljanje rizikom, u okviru područja fizičke sigurnosti, uobičajeno je koristiti tzv. matricu minimalnih sigurnosnih kriterija. Ovo je u stvari razrada još jednog temeljnog principa informacijske sigurnosti, višestrukih zaštitnih mjera koje se implementiraju sukcesivno po dubini opsega koji se štiti (engl. Defence-in-depth). Primjer ovog koncepta vidi se u čl. 20. Uredbe o mjerama informacijske sigurnosti (NN 46/08). Koncept višestruke zaštite predviđa niz slojeva zaštite kao što su: 1. sigurnosni spremnici za zaštitu klasificiranih podataka; 2. zaštita prostorija u kojoj se nalazi štićena imovina; 3. kontrola pristupa u objekt; 4. sustav otkrivanja napada (IDS); 5. zaštita objekta (zgrada unutar vanjskog opsega); 6. vanjski fizički opseg. Ovisno o metodi razrade najčešće se uzimaju u obzir prikazanih šest slojeva fizičke zaštite. Uobičajeno je da, ovisno o mogućoj izvedbi svakog od slojeva, postoji po nekoliko načina izvedbe svakog sloja. Primjerice načini izvedbe slojeva su: vrsta i visina ograde, vrsta IDS-a, način građenja objekta (montažni, čvrsti) vrsta vrata, zaštita prozora, prisutnost čuvara, nadzor i reakcija interventnih timova, vrste brava i sustava za kontrolu pristupa, tip i kategorizacija sigurnosnog spremnika i sl. Metoda se sastoji od kategorizacije načina izvedbe svakog pojedinog sloja, koja je opisna, te od dodjeljivanja bodova (težinskih faktora) za svaki sloj zaštite. Ukupni bodovni zbroj po ostvarenim slojevima u nekom konkretnom slučaju, uspoređuje se s matricom minimalnih sigurnosnih kriterija. Matrica minimalnih sigurnosnih kriterija obično je realizirana prema postojećim stupnjevima tajnosti podataka i uključuje dvije razine informacija: 1. obvezujuće slojeve fizičke zaštite koji moraju postojati za pojedini stupanj tajnosti podataka (primjerice za VT mogu biti propisani kao obvezujući slojevi 1 do 5, a kao dodatni sloj 6, za OGR mogu biti propisani kao obvezujući slojevi 1 do 3, a kao dodatni, za postizanje potrebnog zbroja, slojevi od 4 do 6); 2. kvalitativne razine rizika, tri ili više (npr. niski, srednji i visoki rizik), pri čemu je za svaku razinu definirana veza prema utvrđenim bodovima pojedinih slojeva fizičke sigurnosti (npr. za niski rizik zbroj bodova po slojevima za određeni stupanj tajnosti mora biti najmanje 15). Opisana metoda (Sl. 11.) u različitim varijacijama najčešće se primjenjuje u državnoj upravi NATO/EU država članica, ali se može sresti i šire u primjeni mjera informacijske sigurnosti, najčešće u području fizičke sigurnosti. Kvalitativna procjena rizika prema Sl. 11. diktira potreban zbroj bodova po slojevima ili zbirno (zadani parametri za razine rizika), a onda se kombiniranjem različitih kategorija može postići traženi zbir, koristeći najekonomičnije rješenje kojim će se iskoristiti sve prednosti postojećeg okruženja (postojeća ograda, čvrsti objekt, postojeći sigurnosni sef i sl.) i provesti minimalna dodatna investicija. Prikazana metoda na vrlo učinkovit način kombinira koncept minimalnih sigurnosnih kriterija i upravljanja rizicima u sigurnosnom okruženju. Travanj od 37

23 Sl. 11. Matrica minimalnih sigurnosnih kriterija Upravo načelo minimizacije sigurnosnih kontrola prilikom smanjivanja ili eliminacije procijenjenih rizika, često se navodi kao jedini izvorni put u metodama upravljanja rizicima. Dosta tzv. konzervativnih stručnjaka za upravljanje rizicima, suvremene metode upravljanja rizicima karakteristične za informacijske sustave, smatra neprihvatljivim, jer umjesto optimiranja postojećih sigurnosnih kontrola u određenom sigurnosnom okruženju, nudi beskonačno nadograđivanje i krpanje izvorno nekompletnih rješenja. No, dublja analiza ovog problema vodila bi u stanje na svjetskom tržištu programske podrške, a mehanizmi tržišta neumoljivo diktiraju izbacivanje novih programskih inačica s konkurentnim vizualnim i funkcionalnim karakteristikama, te neumoljivo pretvaraju produkcijska okruženja informacijskih sustava u ispitne poligone za dorađivanje programskih poluproizvoda prerano izbačenih u komercijalnu uporabu Područje sigurnosnih provjera fizičkih i pravnih osoba Koncept koji se tradicionalno primjenjuje kod sigurnosnih provjera podrazumijeva provjeru povjerljivosti, pouzdanosti i lojalnosti osoba. Temelji se na popunjavanju sigurnosnog upitnika i sigurnosnoj provjeri odgovora koje kandidat napiše. Sigurnosna provjera se uobičajeno provodi preko nadležne sigurnosne službe, a procjena rizika radi se obično u nacionalnom NSA tijelu preko formalnih obrazaca za procjenjivanje rizika. Metoda koja se ovdje primjenjuje, uobičajena je za područje informacijske sigurnosti (Sl. 12.). Sigurnosni upitnik se pažljivo kreira kako bi sadržajno pokrio sve segmente kojima se Travanj od 37

24 utvrđuje početno određena tri kriterija za osobe: povjerljivost, pouzdanost i lojalnost. Ovakav koncept propisan je i u RH Zakonom o sigurnosnim provjerama (NN 85/08) i Zakonom o tajnosti podataka (NN 79/07), a sigurnosni upitnici propisani su Uredbom o sadržaju, izgledu, načinu ispunjavanja i postupanju s upitnikom za sigurnosnu provjeru (NN 114/08) 3. Zakonski su propisana dva elementa koja se utvrđuju sigurnosnom provjerom, a to su zapreke i sigurnosni rizici. Zapreke su u smislu zakona: neistinito navođenje podataka u upitniku za sigurnosnu provjeru te činjenice koje su posebnim zakonom propisane kao zapreke za prijam u državnu službu. U sigurnosne rizike se ubrajaju izrečene stegovne sankcije i druge činjenice koje predstavljaju osnovu za sumnju u povjerljivost ili pouzdanost osobe za postupanje s klasificiranim podacima. Uvidom u sadržaj upitnika lako je uočiti koje su to činjenice koje mogu predstavljati sigurnosni rizik u ovom slučaju (npr. imovinsko stanje, dvojno državljanstvo, sudjelovanje u stranim vojnim postrojbama, rodbina, ovisnosti, kontakti s pripadnicima stranih obavještajnih službi i dr.). Sigurnosnom provjerom se utvrđuje pouzdanost odgovora koje je osoba ispunila u upitniku. Metoda je vrlo slična korištenju faktora izvjesnosti (engl. Certainty Factor - CF), koji omogućava kvantificiranje odgovora na određena pitanja [15]. U konačnici, nakon utvrđivanja zapreka i sigurnosnih rizika opisanim postupkom, donosi se odluka o certificiranju osobe ili o odbijanju zahtjeva s određenom mogućnošću prava žalbe. Na odluku primarno utječu eventualne zapreke koje su postupkom sigurnosne provjere utvrđene, kao i kumulacija procijenjenih sigurnosnih rizika. Postupak sigurnosne provjere za pravne osobe provodi se u slučaju potrebe sklapanja klasificiranog ugovora s državnim tijelom o nabavi roba i usluga. Postupak je vrlo sličan postupku opisanom za fizičke osobe, ali u sebi sadrži nekoliko segmenata provjere: provjeru pravne osobe, provjere fizičkih osoba u pravnoj osobi koje će pristupati klasificiranim podacima tijekom provođenja klasificiranog ugovora, te sigurnosnu akreditaciju prostora (sigurnosna zona) i informacijskog sustava ukoliko su potrebne za provedbu klasificiranog ugovora. Sigurnosna provjera pravne osobe provodi se po istim načelima kao i sigurnosna provjera fizičkih osoba pri čemu se koristi poseban upitnik za pravnu osobu, propisan prije spomenutim pravnim aktima. Sl. 12. Povezanost sigurnosnog upitnika, sigurnosne provjere, zapreka i sigurnosnih rizika te sigurnosnog certifikata 3 Zakonski i podzakonski akti te sigurnosni upitnici raspoloživi su na Travanj od 37

25 Područje sigurnosti informacijskih sustava Koncept metoda procjenjivanja i upravljanja rizicima sigurnosti informacijskih sustava u državnom sektoru, u osnovi je vrlo sličan konceptu upravljanja rizikom iz palete normi ISO/IEC 27000, odnosno BS te odgovara općenitom procesu upravljanja rizikom prikazanom na Sl.13. [22] [23]. Sl. 13. Faze procesa upravljanja rizikom Za razliku od do sada prikazanih specifičnosti u drugim područjima informacijske sigurnosti, područje sigurnosti informacijskih sustava ima veliku sličnost sa suvremenim pristupom upravljanju rizikom kakav se primjenjuje u nizu suvremenih međunarodnih i nacionalnih normi [21] [22] [23] [24] [25] [26]. Kao što je već rečeno u poglavlju u okviru fizičke sigurnosti, razlog za to je veliki broj sigurnosnih prijetnji i ranjivosti povezanih sa suvremenom informacijskom i komunikacijskom tehnologijom. Upravljanje rizikom ima za cilj svesti vjerojatnost rizika primjene informacijske tehnologije u okvire prihvatljive za vlasnike. To znači kako će vjerojatnost da neka prijetnja iskoristi ranjivost informacijskog sustava biti na odgovarajući način umanjena tako da bude u suglasju s ciljevima i načelima pristupa organizacije riziku. Primjena sigurnosnih kontrola u području sigurnosti informacijskih sustava stoga na određeni način prati dva ključna smjera upravljanja. Prvi smjer pokriva životni ciklus informacijskih sustava i u okviru ovog procesa moraju se prepoznati i na odgovarajući način sigurnosno usmjeravati sve specifičnosti informacijske tehnologije koje dolaze do izražaja u različitim fazama životnog ciklusa informacijskog sustava. Koristi se najčešće pet do šest faza kao primjerice u [31]: planiranje, razvoj i nabava, izvedba i sigurnosna verifikacija, uporaba i održavanje, povlačenje iz uporabe i odlaganje. Drugi smjer predstavlja u stvari specifičnosti IT sigurnosnih kontrola i općenito se može prikazati kao na Sl. 14. [27]. Travanj od 37

26 Sl. 14. Slojevi u okviru kojih se realiziraju IT sigurnosne kontrole 3.2. Norme državnog sektora, nacionalne i međunarodne norme S obzirom na veliki broj raspoloživih sigurnosnih kontrola koje pokrivaju područje sigurnosti informacijskih sustava [24] [30], uobičajena primjena u državnom sektoru ide za tim da utvrdi minimalne sigurnosne kriterije (engl. security baseline), koji će neovisno o lokalnom procjenjivanju rizika, osigurati primjenu odgovarajućeg skupa sigurnosnih kontrola [28] [29]. U tu svrhu koristi se metoda upravljanja rizikom u okviru koje se, slično kao u poglavlju , utvrđuje razina sveukupnog utjecaja prijetnji na informacijski sustav (najčešće kvalitativno na tri razine). Metoda koja se najčešće koristi, primjerice prema [29], provodi prvo analizu vrsta podataka u informacijskom sustavu i kategorizira mogući utjecaj na sigurnosne kriterije povjerljivosti, cjelovitosti i raspoloživosti, za svaku korištenu vrstu podataka, a zatim na temelju toga utvrđuje sigurnosnu kategorizaciju informacijskog sustava, te iz sigurnosne kategorizacije određuje sveukupnu razinu utjecaja kao najveći pojedinačni utjecaj na jedan od tri sigurnosna kriterija. Sveukupna razina utjecaja prijetnji na informacijski sustav kvalitativno je podijeljena na tri razine: niski utjecaj, srednji utjecaj i visoki utjecaj. Za svaku od tri razine utjecaja definiran je popis obvezujućih sigurnosnih kontrola iz kataloga u [30], odnosno minimalni sigurnosni kriteriji (engl. security baseline). Kategorizacijom utvrđeni inicijalni popis sigurnosnih kontrola, dalje se oblikuje naputkom za primjenu kontrola opsega i kompenzacije, koje su nužne sukladno specifičnostima konkretnog informacijskog sustava. Tako oblikovanu listu sigurnosnih kontrola dalje je moguće prilagođavati operativnim specifičnostima provođenjem procjenjivanja rizika u konkretnom okruženju. Metoda prema [30] tipičan je način kako se tradicionalna politika informacijske sigurnosti u državnoj upravi, kombinira s mogućnostima koje proizlaze iz suvremenog pristupa kroz upravljanje rizikom (Sl. 15.). Travanj od 37

27 Sl. 15. Metoda NIST-a kojom se kombinira sigurnosne kontrole iz skupa minimalnih sigurnosnih kontrola i sigurnosne kontrole proizašle iz procesa upravljanja rizikom Ukratko prikazana metoda NIST-a 4 iz 2007.g., u osnovi se odnosi na područje sigurnosti informacijskih sustava, iako je usklađena s općim pristupom informacijskoj sigurnosti u okviru međunarodnih ISO normi iz područja informacijske sigurnosti. Koncepcijski vrlo sličan pristup kombiniranju minimalnih sigurnosnih kriterija i upravljanja rizikom, započeo je 2006.g. njemački BSI 5. Počevši od godine BSI je uveo, uz postojeću nacionalnu certifikaciju pod nazivom IT-Grundschutz, i proširenje kojim je u koordinaciji s ISO/IEC, započeo kombinirano certificiranje državnih tijela i pravnih osoba s izdanim certifikatom IT-Grundschutz, u svrhu izdavanja međunarodnog ISO certifikata [32]. IT-Grundschutz predstavlja njemački nacionalni minimalni sigurnosni kriteriji za IT sigurnost. BSI je zakonski ovlašten za provjeru i certifikaciju državnih tijela i drugih pravnih osoba koje primjenjuju ovu normu njemačke državne uprave i to provodi već duži niz godina, tako da se ova norma IT sigurnosti uvriježila kao jedna od najcjenjenijih normi u području državnih uprava u svijetu. Promjena za korisnike IT-Grundschutz norme koja je uvedena 2006.g. odnosi se na mogućnost dodatne certifikacije postojećih i novih korisnika njemačke IT- Grundschutz norme, sukladno međunarodnoj ISO normi. Radi se u stvari o certifikaciji po ISO 27001, ali na temelju IT-Grundschutz norme. Kako bi omogućio primjenu kombinirane metode, BSI je morao uskladiti svoju IT- Grundschutz metodu s normom ISO 27001, tako da je dotadašnji IT-Grundschutz Manual zamijenjen s tri nove BSI norme [33] [34] [35], a kasnije je nastao i četvrta norma [36]. U dodatku je izdan i IT-Grundschutz katalog koji se bavi detaljima prijetnji i zaštitnih protumjera, nastao u okviru prijašnjeg razvoja IT-Grundschutz norme njemačke državne uprave, a koji se može uspješno primjenjivati uz nove BSI norme. Prvi dio norme (BSI-100-1) utvrđuje općenite zahtjeve na sustav upravljanja informacijskom sigurnošću (ISMS), uvodeći pri tome sukladnost sa ISO normom, uključujući i neke preporuke iz ISO i najbolje prakse iz ISO (prijašnji ISO 17799). Drugi dio norme (BSI-100-2) uvodi IT-Grundschutz metodu i primjenjuje se zajedno sa spomenutim posebnim IT-Grundschutz katalogom, koji daje savjete za tehničku i organizacijsku implementaciju, a izrađen je na temelju prijašnje norme državne uprave. Prednost ovakvog pristupa je to što se nudi testiran i učinkovit način za provedbu zahtjeva spomenutih ISO normi. Katalog sadrži tipične rizike i zaštitne mjere za informacijske 4 National Institute of Standards and Technology, U.S.A., 5 Bundesamt fur Sicherheit in der Informationstechnik, Germany, Travanj od 37