Certifikati ISMS Information Security Management System

Transcription

1 Certifikati Postoje praktični razlozi za uvođenje politike i sustava osiguranja informatičke djelatnosti (ISMS Information Security Management System) sposobnih da se nezavisno ceritificiraju u skladu s normama. Certifikat pokazuje postojedim i potencijalnim poslovnim partnerima da je tvrtka definirala i aktivirala efikasne procese zaštite informatičkih resursa pomažudi na taj način izgraditi odnose povjerenja sa poslovnom okolinom.

2 Certifikati Proces certifikacije prisiljava tvrtku: 1. usmjeriti se na neprekidno poboljšanje svojih procesa informatičke zaštite putem redovitih vanjskih nezavisnih kontrola, 2. omoguduje izgraditi od početka sustav sigurnosti kao i neprekidnu sposobnost operativnosti.

3 Poslovne koristi - certifikat smanjivanje sigurnosnih rizika, prepoznavanje i smanjivanje sigurnosnih rizika na željenu razinu, poboljšavanje poslovnih odnosa (vede povjerenje u međusobno razmjenjivanje informacija), investicije na prava akutna mjesta, optimizirana poslovna partnerstva, upravljanje sigurnošdu, upravljanje procesima sigurnosti informacija.

4 Standard sadrži strukturirani set smjernica i specifikacija za pomod organizacijama u razvoju sustava upravljanja informacijskom sigurnošdu. Implementacija sigurnosnih kontrola po standardima ne samo da onemogudava previd pojedinih kontrola, ved je i dokaz kvalitete uspostavljenih sigurnosnih kontrola.

5 Norme Norme su javno objavljene specifikacije koje u domeni informacijske sigurnosti daju metodologiju kako riješiti pojedine aspekte informacijske sigurnosti.

6 Norme za informacijsku sigurnost ISO/IEC 27001:2005 Information security management systems Requirements ISO/IEC 27002:2007 Code of practice for information security management (bivša norma ISO/IEC 17799) ISO/IEC 27005:2008: Information security risk management (nastala na temalju norme BS ) NIST SP Risk management guide for information technology systems BS :2007 Specification for business continuity management NIST SP Information security handbook: A guide for managers ISO/IEC 24762:2008 Guidelines for information and communications technology disaster recovery services...

7 Danas je na tržištu prisutno mnogo normi, referenci i savjeta za uspostavu sigurnosti u informacijske sustave, no dva najpoznatija standarda zasigurno su ISO/IEC (27002:2007) i ISO/IEC Standardi ISO/IEC (27002:2007) i se međusobno ne isključuju. Naprotiv, za uspostavu kvalitetnog sustava upravljanja sigurnošdu informacija nužno je koristiti oba standarda. ISO (eng. the International Organization for Standardization) i IEC (eng. The International Electrotechnical Commission) dva su tijela koji zajedno čine sustav za međunarodnu standardizaciju.

8 Razvoj ISO/IEC i ak_ivan_diplomski_rad_1716.pdf

9 Kontrole su namijenjene za rješavanje specifičnih zahtjeva koji su identificirani preko formalne procjene rizika. Bitno je naglasiti da ISO nije upravljačka norma i da se po njoj ne može certificirati. Upravljačka norma znači da se njome određuje način upravljanja sustavom, što je u normi upravljanje sustavom informacijske sigurnosti (ISMS). Kontrole u normi imaju iste nazive kao i one u samo što je razlika u količini detalja. ISO A Nezavisna provjera informacijske sigurnosti 1 rečenica ISO Nezavisna provjera informacijske sigurnosti 1 stranica

10 2010/09/13/iso vs-iso / Postavlja se pitanje zašto te dvije norme postoje zasebno, zašto nisu integrirane kako bi se na jednom mjestu objedinile njihove pozitivne strane? Odgovor je u upotrebljivosti ako bi tvorile jedinstvenu normu, ona bi bila suviše složena i opsežna za praktičnu upotrebu.

11 Normu ISO/IEC mogude je implementirati u sve vrste informacijskih sustava bez obzira na njihovu veličinu. Navedena karakteristika utjecala je na popularnost standarda i njegovu sveopdu prihvadenost. ISO/IEC ističe da nije prvenstveno namijenjen certificiranju, ved širenju svjesnosti o potrebi organizacije sustava zaštite informacija kroz opis najboljih ved primijenjenih metoda i principa za uspostavu i održavanje takvih sustava.

12 ISO/IEC ISO/IEC 27001:2005 je standard objavljen u listopadu godine, razvijen je na temeljima BS 7799 standarda, točnije njegovog drugog dijela. Namjena ovog standarda je kvalitetna uspostava sustava upravljanja sigurnošdu informacija (ISMS), a sadrži skup zahtjeva koje organizacija mora ispuniti da bi se priznao certifikat za informacijsku sigurnost. Iako standard obuhvada izradu sigurnosne politike, njegova prvenstvena uloga je način implementacije sigurnosnih kontrola i samim time nije prikladan kao temelj pisanja sigurnosne politike.

13 PDCA model ISO/IEC upotrebljava PDCA (engl. Plan- Do-Check-Act) model. Ovaj model ističe važnost pažljivog planiranja programa uspostave sustava, što rezultira efikasnim mjerama za njegovo trajno poboljšanje i pravilnu uporabu.

14

15 Aktivnosti kod PCDA modela

16 Plan faza 1. Podrška uprave. Prije implementacije bilo kojeg efikasnog sustava upravljanja, najvažnije je da uprava u potpunosti razumije koristi uvodenja sustava te podržava njegovo uvođenje, svjesna mogućih problema i prepreka koje se mogu pojaviti. Sigurnost treba biti potaknuta od vrha organizacije. Kako bi se uspješno ispunili ciljevi i zahtjevi informacijske sigurnosti, važno je da izvršno tijelo organizacije preuzme inicijativu u promicanju informacijske sigurnosti, te pruži punu potporu timu ili vanjskim suradnicima koji će provoditi proces. 2. Definiranje opsega sustava upravljanja sigurnošcu informacija. Drugi korak je definiranje područja koje ce pokrivati implementirani sustav upravljanja sigurnošću informacija. To može biti područje cijelog informacijskog sustava organizacije, ili samo jedan njegov dio. Takoder, sustav može pokrivati samo jednu specificnu uslugu npr. Internet bankarstvo. Područje opsega sustava upravljanja sigurnošcu informacija pokriva sve one domene za koje organizacija smatra da trebaju adekvatnu informacijsku zaštitu. 3. Kreiranje dokumenta sigurnosne politike. Dokument sigurnosne politike je relativno kratak dokument (1-3 stranice), potpisan od strane uprave organizacije, te prezentiran svim zaposlenicima. Namjena dokumenta je iskazivanje potpune potpore poslovodstva uvođenju sustava upravljanja sigurnošcu informacija. Dokumentom se nedvojbeno izražava politika organizacije da ce osigurati tajnost informacija, štititi njihov integritet, te osiguravati njihovu dostupnost samo autoriziranim korisnicima. Svi drugi relevantni dokumenti, pravne i zakonske odredbe od specificne važnosti za organizaciju, kao i ostali dokumenti sigurnosne politike namijenjene određenim aspektima informacijskog sustava, trebaju biti navedeni u krovnom dokumentu sigurnosne politike.

17 4. Kreiranje strukture sigurnosne organizacije. Organizacija mora uspostaviti upravljačku strukturu za provedbu mjera i strategija sustava upravljanja sigurnošću informacija. Struktura se brine za provedbu, kreiranje i održavanje ažurnosti sigurnosnih politika, kao i relevantnih standarda, procedura i planova. Struktura se sastoji od razlicitih tijela i timova zaduženih za specifične sigurnosne aspekte. Konačnu odgovornost za provedbu sigurnosnih mjera preuzima glavni službenik za informacijsku sigurnost. Njegove odgovornosti i ovlaštenja moraju biti jasno definirane, kao i odgovornosti i ovlaštenja svakog zaposlenika u upravljačkoj strukturi za sigurnost informacija. Na taj način postiže se adekvatna provedba sigurnosnih mjera unutar organizacije. 5. Izvođenje procjene rizika. Kako bi se donijela odluka o tome koje je informacijske resurse potrebno zaštititi, nužno je provesti detaljnu analizu organizacije u cilju utvrđivanja lokacije, načina postupanja i odgovornosti za pojedine informacijske resurse. Informacijski resursi svakog dijela organizacije trebaju se klasificirati unutar aspekata tajnosti, integriteta i dostupnosti. 6. Odabir sigurnosnih kontrola. Norma ISO/IEC sadrži 127 sigurnosnih kontrola. Podrazumijeva se da nisu sve kontrole primjenjive na sve organizacije. Preporučuje se upotreba samo onih kontrola koje su u procesu analize rizika identificirane kao nužne za primjenu. Nakon odabira sigurnosnih kontrola, specifične sigurnosne politike definiraju se za svaku pojedinu kontrolu, kako bi se osigurala željena razina sigurnosti. Preporuke i procedure za implementaciju sigurnosnih politika specificiraju se u posebnoj dokumentaciji o implementaciji sigurnosne politike, te se sama implementacija mjera definiranih politikama provodi u "Act" fazi PDCA ciklusa. 7. Kreiranje Izjave o primjenjivosti. Norma ISO/IEC zahtijeva postojanje dokumenta zvanog Izjava o primjenjivosti (engl. Statement Of Applicability, SoA), koji sadrži popis sigurnosnih kontrola s objašnjenjima zašto su pojedine kontrole uključene odnosno isključene iz sustava. Standard podrazumijeva da je opseg sustava upravljanja sigurnošću informacija specifican za svaku pojedinu organizaciju i samim tim je opravdano

18 Do faza 1. Izrada i implementacija plana upravljanja sigurnosnim rizikom. Plan upravljanja sigurnosnim rizikom je projektni plan kojim se ukljucuju eventualne dodatne sigurnosne kontrole u sustav upravljanja sigurnošcu informacija ukoliko se za tim otkrije potreba prilikom izvodenja procjene rizika. Uslijed promjene informacijskih resursa ili promjene velicine rizika za pojedine informacijske resurse, potrebno je ponovno provesti postupak procjene rizika te revidirati i ažurirati sigurnosnu politiku za relevantne sigurnosne kontrole. Pri formulaciji mjera za postizanje željene razine sigurnosti, formulira se plan za upravljanje sigurnosnim rizikom tako da se velicina rizika nastoji svesti na minimalan iznos. 2. Implementacija sigurnosnih kontrola. Dok se definiranjem sigurnosnih politika za odabrane sigurnosne kontrole opisuje koje mjere bi trebalo poduzeti za postizanje i održavanje željene razine sigurnosti, njihova implementacija podrazumijeva specifikaciju kako je potrebno implementirati definirane sigurnosne mjere opisane dokumentima sigurnosne politike. Nužno je redovito provjeravati sigurnosne politike i metode njihove implementacije, kako bi se na vrijeme odredila optimalna metoda suočavanja s novim sigurnosnim prijetnjama. Budući da su sposobnosti napadača sve sofisticiranije i štete koje mogu nastati njihovim djelovanjem sve veće, važno je često provjeravati i ažurirati sigurnosne politike i metode njihove implementacije. 3. Provodenje obrazovnih programa. Dio implementacije sustava upravljanja sigurnošću informacija može se realizirati automatski putem tehničkih procedura ugradenih u informacijski sustav. Medutim, veći dio implementacije ovisi o odlukama i aktivnostima ovlaštenih osoba kao i svih korisnika informacijskog sustava organizacije. Kako bi se podigla svijest o važnosti pridržavanja sigurnosnih mjera implementiranih kroz sustav upravljanja sigurnošću informacija, važno je provoditi odgovarajuću i planiranu izobrazbu zaposlenika o važnosti sigurnosti, te pridržavanju sigurnosnih politika i procedura.

19 4. Upravljanje operacijama i resursima. Kako bi se upravljanje operacijama i resursima sustava upravljanja sigurnošcu informacija pravilno i efikasno provodilo, važno je uspostaviti takav tip sigurnosne organizacije koji se ne oslanja pretjerano na pojedinacne zaposlenike. Takoder, nužno je uspostaviti sustav brzog reagiranja na incidente kako bi se osigurao kontinuirani rad informacijskog sustava i poslovanja organizacije. Svaki novi informacijski resurs treba biti provjeren i testiran prije ukljucivanja u informacijski sustav. Specifikacije resursa moraju se nadzirano pohranjivati i kontrolirati. Ukoliko je odredeni uredaj uništen ili je na njemu izveden popravak, odgovarajuca procedura treba se provoditi pri rukovanju uredajem s ciljem sprecavanja otkrivanja osjetljivih informacija zlonamjernim korisnicima. 5. Uočavanje i reagiranje na sigurnosne incidente. Svaki zaposlenik dužan je o uocenom sigurnosnom incidentu izvijestiti osobu nadležnu za provedbu sigurnosnih mjera, bez pokušaja samostalnog rješavanja incidenta. Za rješavanje sigurnosnih incidenata potrebno je kreirati posebnu proceduru i slijediti metode i odgovornosti definirane procedurom. Takoder je prilikom rješavanja sigurnosnih incidenata nužno proizvesti izvještaj o riješenim sigurnosnim incidentima.

20 Check faza 1. Izvršavanje procedura za nadzor sustava. Osiguranje željene razine sigurnosti informacijskog sustava održava se primjenom pravila i procedura za nadzor sustava upravljanja sigurnošcu informacija. Bududi da se nove sigurnosne prijetnje otkrivaju na dnevnoj bazi, nužno je pratiti izvore informacija o sigurnosnim prijetnjama i redovito ažurirati sigurnosne mehanizme za sprecavanje tih prijetnji. 2. Provjera efikasnosti sustava. Konstantno provjeravanje sigurnosnih mjera i mehanizama implementiranih sustavom upravljanja sigurnošcu informacija nužno je kako bi se osigurala njegova efikasnost. Provjeru je dužan provoditi svaki zaposlenik u svakom aspektu svog rada, a osim toga nužno je provoditi i periodičke provjere ranjivosti sustava. Periodičke provjere ranjivosti mogu se provoditi unutar same organizacije ili se za to mogu angažirati osposobljeni stručnjaci izvan organizacije kako bi provjera bila što je mogude objektivnija. Uzimajudi u obzir rezultate takvih provjera, provode se mjere za poboljšanje sustava upravljanja sigurnošdu informacija. 3. Provjera razine rezidualnog i prihvatljivog rizika. Efektom sigurnosne mjere smatra se njezina sposobnost umanjivanja prijetnje, ranjivosti ili čak vrijednosti informacijskog resursa kako bi se postigao minimalan rizik. Ovo nas dovodi do koncepta rezidualnog rizika. Za umanjivanje ranjivosti informacijskog sustava mogu se upotrijebiti različite strategije, npr. uklanjanje svih ranjivosti,uklanjanje onih ranjivosti koje zahtijevaju najmanje financijskih sredstava a zatim onih unutar dozvoljenih sredstava, uspostava i odabir ravnoteže izmedu tehničkih i ne-tehničkih metoda za uklanjanje ranjivosti i sl. Pokušaj uklanjanja svih ranjivosti najvjerojatnije nede umanjiti rizik na nulu. Štoviše, takva je metoda obično skupa i vremenski zahtjevna, te rijetko donosi očekivane rezultate. Ostale metode mogu se kombinirati u cilju dobivanja najboljeg rezultata, odlukom o odabiru odredenog odnosa troška i učinka.

21 4. Provedba internih audita sustava. Interni auditi igraju važnu ulogu u održavanju kontinuiranog poboljšanja sustava. Cilj internih audita je provjera efikasnosti, ispravne implementacije i održavanja sigurnosnih kontrola s ciljem potvrde da se sustav upravljanja sigurnošdu informacija ponaša onako kako se to od njega očekuje. 5. Pregled sustava od strane uprave. Uprava obavlja pregled i ocjenu sustava upravljanja sigurnošdu informacija s ciljem potvrde kontinuirane adekvatnosti i efikasnosti sustava. Ulazni podaci za pregled poslovodstva su rezultati provedenih audita i kontrola, izvršene korektivne i preventivne akcije, preporuke za unapredenje sustava te nove tehnologije i metode koje se koriste u informacijskim sustavima. Rezultati pregleda poslovodstva su prijedlozi za korekcije sustava, njegovo unapređenje kao i osiguranje potrebnih resursa za provedbu specificiranih korektivnih i preventivnih mjera.

22 Act faza 1. Implementacija metoda za poboljšanje sustava. Kontinuirana težnja unapredenju koja nije bazirana isključivo na aktualnom problemu vrlo je važna odlika svakog uspješnog sustava upravljanja organizacijom. Ona predstavlja napredak iz reaktivnog na proaktivno upravljanje. Metode kontinuiranog poboljšavanja sustava su identifikacija potencijalnih unapredivih područja, analiza i opravdanje potrebnih akcija, odluka o provodenju mjera za poboljšanje, implementacija poboljšanja, mjerenje utjecaja poboljšanja na organizaciju, analiza rezultata poboljšanja na pregledu poslovodstva, stalna potraga za novim metodama poboljšanja.2. Provedba korektivnih i preventivnih mjera. Korektivne mjere provode se nakon ostvarenog sigurnosnog rizika kako bi se spriječila ponovna pojava rizika u bududnosti. Preventivne mjere se koriste za umanjivanje vjerojatnosti pojave rizika i umanjivanje potencijalnih šteta. 3. Informiranje o sustavu unutar organizacije. Provedba sigurnosnih politika i upoznavanje svih zaposlenika sa sustavom upravljanja sigurnošdu informacija mora se provoditi planirano i bez osjedaja opteredenja medu zaposlenicima organizacije. Potrebno je takoder provoditi redovitu izobrazbu uprave, korisnika i partnera o načinu primjene i pridržavanja implementiranih sigurnosnih politika.

23

24 Općenito se proces certifikacije može opisati kroz slijedeće korake: 1. Prije početka projekta, organizacija odlučuje o samom projektu i izrađuje projektni plan. U ovom koraku, kao i u cijelom projektu potrebna je potpuna podrška uprave organizacije kako bi projekt bio kvalitetno i ispravno odrađen. 2. Izrada dokumenta Politike informacijske sigurnosti koji će biti temelj sustava informacijske sigurnosti (ISMS). 3. Definiranje opsega sustava informacijske sigurnosti (ISMS), gdje uprava organizacije treba odlučiti koji resursi ulaze u opseg sustava. 4. Identifikacija ranjivosti, prijetnji, rizika te utjecaja na poslovanje u procesu procjene rizika, koji rezultira nizom potrebnih dokumenata. 5. Temeljem identificiranih rizika odlučuje se o tretmanu istih i dodijeljuju se odgovornosti. 6. Korištenjem standarda, odabiru se kontrole čija implementacija može eliminirati ili umanjiti uočene rizike. 7. Implementacija kontrola 8. I na kraju ono što što se i očekuje, certifikacija. Izvor:

25 ISO/IEC certificiranje kao i ostala ISO certificiranja obično imaju tri faze u procesu revizije Izvor: Faza 1 je preliminarni, neformalni pregled ISMS, kao npr. provjeravanje postojanja i potpunosti ključne dokumentacije za politike informacijske sigurnosti organizacije kao što su Statement of Applicability (SoA) i Risk Treatement Plan (Plan tretiranja rizika). Ova faza obično služi kako bi upoznala revizore sa organizacijom i strukturom. Faza 2 - je detaljnija i spada u formalni segment revizije u kojem se neovisno testira ISMS nasuprot zahtjeva ISO/IEC Revizori traže dokaze koji potvrđuju da menadžment sustav neovisno funkcionira, pravilno je dizajniran i implementiran i kao takav operativan. Revizije certifikacije se obično obavljaju od strane Vodećih revizora ISO/IEC revizora. Uspješan prolaz ove faze rezultira certificiranjem ISO/IEC standarda za postojeći ISMS. Faza 3 - obično uključuje popratne provjere ili revizije kako bi se potvrdilo da sustav i organizacija ostaje u skladu sa standardima. Održavanje certifikacije podrazumijeva periodične procjene revizije koje potvrđuju da ISMS nastavlja da radi u skladu sa specifičnim zahtjevima. Obično se revizije obavljaju godišnje (u dogovoru sa menadžmentom) ali mogu se obavljati i češće, pogotovo ako je sustav još u fazi sazrijevanja.

26 Perspektiva ISO norme u Hrvatskoj Kako je ISO norma počela u Hrvatskoj, gdje je sada i kakva joj je bududnost? Izvor: (Dejan Košutid)

27 Prošlost Prve tvrtke koje su izašle iz tih okvira i certificirale se po staroj normi BS (koja je poslije prešla u ISO 27001) bile su Pliva informatika (GBS Global Business Services), te CS Computer Systems to su tehnološke tvrtke koje su na ovaj način htjele dokazati svoju tehnološku razinu, ali i sebi otvoriti vrata za novo tržište. Ubrzo nakon toga certifikaciju su prošle tvrtke Vipnet (vjerojatno zbog projekata pokrenutih na nivou korporacije), i Primorsko-goranska županija kao prvo tijelo lokalne samouprave, čime je napravljen veliki iskorak i u državni sektor.

28 Sadašnjost Do sada je izdano samo 30-ak certifikata ISO 27001, što je zanemariva brojka u odnosu na preko dvije tisude certifikata po ISO 9001 normi. Međutim, vedi dio banaka u Hrvatskoj je započela ili de započeti projekte uvođenja ISO iz razloga zakonske regulative godine ISO prihvadena kao hrvatska norma od strane Hrvatskog zavoda za norme, i oznaka joj je HRN ISO/IEC 27001:2006. Nažalost, izvornik je još uvijek na engleskom jeziku, međutim pretpostavka je da će se i to promijeniti iz vrlo konkretnog razloga: Hrvatska Vlada je nedavno donijela Uredbu o mjerama informacijske sigurnosti (NN 46/08) koja propisuje da sva tijela državne uprave i pravne osobe s javnim ovlastima koje koriste tzv. neklasificirane podatke moraju provesti dotičnu normu. Drugim riječima, ova će norma morati ući u vrlo široku uporabu u državnom sektoru, pa je njen prijevod na hrvatski vrlo izvjestan.

29 Izvor: Hrvatski pregled certifikata sustava upravljanja HR Survey 2010

30 Izvor: HDK - Hrvatski pregled certifikata sustava upravljanja HR Survey 2010

31 Bududnost vedina banaka de provesti regulativu HNB-a o informacijskoj sigurnosti koristedi metodologiju ISO 27001, ali je pitanje da li de postojati vedi interes za certifikaciju gotovo sva tijela državne uprave i pravne osobe s javnim ovlastima de morati provesti normu ISO 27001, i tu de biti najvedi skok u provedbi i certifikaciji tvrtke koje su dobavljači banaka odnosno tijela državne uprave, a pogotovo one iz tehnološkog i sigurnosnog sektora sve de više tražiti načine da se diferenciraju i dokažu svoju tehnološku i sigurnosnu razinu, pa de i one doprinijeti značajnijem rastu u smislu certificiranih tvrtki pretpostavka je da de i osiguravatelji odnosno ostatak financijskog sektora morati slijediti praksu bankara po pitanju informacijske sigurnosti i operativnog rizika, pa se može očekivati da de i taj sektor vrlo brzo pokrenuti projekte temeljene na ISO 27001, pogotovo nakon što HANFA uvede stroža pravila

32 Pitanja - odgovori Manjak ili višak stručnjaka? Mala potražnja Trošak uvođenja? (konzultantska satnica) ili isplativa investicija (ušteda)

33 Nedostaci? Najvedi nedostaci norme ISO /21/najveci-nedostaci-norme-iso-27001/

34 Osim norme ISO (nekadašnja norma BS ), postoji i norma ISO (nekadašnja norma ISO 17799), koja je pomodna norma i detaljnije opisuje na koji način provesti pojedine mjere zaštite iz ISO Korisne su i norma BS (detaljno propisuje proces procjene rizika), te norme BS /BS (detaljno opisuju upravljanje kontinuitetom poslovanja).

35 ISO/IEC 17799:2005 ISO/IEC 17799:2005 sastoji se od 11 domena sigurnosnih kontrola koje zajedno sadrže 39 osnovnih sigurnosnih kategorija i jednu uvodnu domenu koja nas upoznaje s procjenom rizika. Izvor opis kategorija: c/marijanovic_diplomski.pdf

36 Domene su: 1) Sigurnosna politika 2) Organiziranje informacijske sigurnosti 3) Upravljanje imovinom 4) Sigurnost i ljudski resursi 5) Fizička zaštita i zaštita od okoline 6) Upravljanje komunikacijama i operacijama 7) Kontrola pristupa

37 8) Obogadivanje, razvoj i održavanje informacijskog sustava 9) Upravljanje incidentima informacijskog sustava 10) Upravljanje poslovnim kontinuitetom 11) Usklađivanje

38 Svaka glavna sigurnosna kategorija sadrži: 1. kontrolni cilj koji je potrebno ostvariti, 2. jednu ili više kontrola koje se mogu primijeniti kako bi se ostvario kontrolni cilj.

39 1. Sigurnosna politika U ovoj domeni se definira sigurnosna politika, te se naglašava važnost postojanja dokumenta sigurnosne politike. Sigurnosna politika može biti dio opde politike organizacije, a ne mora nužno predstavljati poseban dokument. Cilj sigurnosne politike je dati smjernice za upravljanje informacijskom sigurnošcu u skladu s poslovnim zahtjevima organizacije i relevantnim zakonima i propisima. Uprava treba definirati jasnu sigurnosnu politiku koja je uskladena s ciljevima organizacije i koja pruža potporu informacijskoj sigurnosti na svim razinama organizacije.

40 Dokument sigurnosne politike treba sadržavati: a) definiciju informacijske sigurnosti, njezine glavne ciljeve i opseg te važnost sigurnosti kao mehanizma koji omogucuje dijeljenje informacija; b) izjavu o namjerama uprave koje ce podupirati ciljeve informacijske sigurnosti u skladu s poslovnom strategijom; c) okvir za uvodenje kontrola, kao i strukturu procjene rizika i upravljanja rizikom;

41 d) objašnjenje sigurnosne politike, principe, standarde i zahtjeve od posebnog interesa koje organizacija treba usvojiti, a to su: 1) zakonski, pravni i ugovorni zahtjevi; 2) edukacija o sigurnosti, svijest o sigurnosti i sigurnosni trening; 3) upravljanje kontinuitetom poslovanja; 4) posljedice narušavanja sigurnosne politike;

42 e) definiciju odgovornosti u procesu upravljanja sigurnošdu, uključujudi i prijavu sigurnosnih incidenata; f) referencu na dokumente koji podupiru sigurnosnu politiku. Sigurnosnu politiku je nužno provjeravati u unaprijed određenim intervalima, kako bi se osiguralo da sve relevantne promjene budu registrirane i uključene u sigurnosnu politiku.

43 2. Organiziranje informacijske sigurnosti Ova domena sadrži dva kontrolna cilja: 1) unutarnja organizacija; i 2) vanjski suradnici.

44 Kontrolni cilj koji se odnosi na unutarnju organizaciju opisuje upravljanje sigurnošdu unutar organizacije. Od uprave se očekuje da odobri sigurnosnu politiku, dodijeli sigurnosne uloge i koordinira implementaciju sigurnosnih mehanizama unutar organizacije. Često je korisno suradivati sa specijalistima na području računalne sigurnosti izvan organizacije i poticati multidisciplinarni pristup računalnoj sigurnosti.

45 Organizacija treba zatražiti nezavisno ispitivanje sustava upravljanja sigurnošcu informacija. Za sve zaposlenike organizacije potrebno je utemeljiti odgovarajude odgovornosti, te inicirati potpisivanje sporazuma o povjerljivosti kako bi se zaštitile kritične informacije. Potrebno je omoguditi koordinaciju predstavnika različitih dijelova organizacije u cilju boljeg funkcioniranja sustava upravljanja sigurnošcu informacija.

46 Kod suradnje s vanjskim strankama zahtjeva se identifikacija rizika kojeg donosi takva suradnja i usvajanje prakse i procedura za smanjenje vjerojatnosti pojave sigurnosnih incidenata. Nadalje, potrebno je zaštititi sve resurse kojima pristupaju korisnici neke od usluga organizacije. Potrebno je definirati jasne sporazume prilikom suradnje s tredom stranom. Takvi sporazumi trebaju uključivati odgovornost trede strane, zaštitu resursa kojima pristupa treda strana, prikladan proces prijave incidenata, ukoliko do njih dode i sl.

47 3. Upravljanje resursima Ključni zahtjevi ove sigurnosne domene su: 1) dodjela odgovornosti za resurse; i 2) ispravna klasifikacija informacija.

48 Nakon što se napravi inventura resursa zahtjeva se dodjela vlasništva nad pojedinim resursom. Vlasnik resursa postaje odgovoran za razvoj, održavanje i uporabu resursa na prikladan način. Vlasništvo se može dodjeliti nad procesom, skupom aktivnosti, aplikacijom ili skupom podataka. Za svaki resurs je dobro definirati prikladan način uporabe. Svi zaposlenici, vanjski suradnici i trede strane trebaju poštivati određeni način uporabe resursa.

49 Kako bi se informacija mogla zaštititi na odgovarajudi način, potrebno je provesti odgovarajudu klasifikaciju informacija. Informacije se trebaju klasificirati na temelju njihove vrijednosti, zakonskih i ugovornih zahtjeva, osjetljivosti i kritičnosti za organizaciju ili neki proces. Nakon što su klasificirane informacije se trebaju označiti u skladu s klasifikacijom. Također, dobro je izraditi procedure koje definiraju način na koji de se pojedina skupina informacija pohranjivati, prenositi, koristiti i uništavati.

50 4. Sigurnost i ljudski resursi Potrebno je utemeljiti sigurnosne zahtjeve za periode: 1) prije zaposlenja; 2) tijekom zaposlenja; i 3) nakon zaposlenja.

51 Uloge i odgovornosti zaposlenika je potrebno definirati i dokumentirati u skladu sa sigurnosnom politikom. Prije primanja zaposlenika potrebno im je predstaviti uloge i odgovornosti koje podrazumjeva njihovo radno mjesto. Predlaže se napraviti provjere identiteta zaposlenika, kvalifikacija i referenci navedenih u životopisu. Potrebno je osigurati potpisivanje ugovora u kojem zaposlenik prihvada uvjete zaposlenja.

52 Tijekom zaposlenja dobro je zaposlenicima pružiti edukaciju u pogledu informacijske sigurnosti i to u cilju podizanja razine svijesti o informacijskoj sigurnosti. Organizacija treba utemeljiti disciplinski proces za sankcioniranje svih sigurnosnih prekršaja, te sve zaposlenike informirati o postojanju istog.

53 Nakon promjene radnog mjesta, odnosno premještaja unutar organizacije, ili otpusta s radnog mjesta potrebno je osigurati da zaposlenik vrati sve resurse koje je posjedovao tijekom zaposlenja. Pristupna prava se trebaju uskladiti s novim radnim mjestom ili ukinuti ukoliko se radi o prekidu zaposlenja.

54 5. Fizička sigurnost U ovoj domeni se uvodi pojam sigurnosnog opsega. Zadada sigurnosnog opsega je fizički osigurati prostor s osjetljivim resursima. Sigurnosni opseg se postiže različitim barijerama, poput zidova, rešetki ili ulaznih vrata koja se kontroliraju pametnim karticama. Organizacija bi se trebala pobrinuti da samo ovlašteni korisnici imaju pristup sigurnosnom opsegu. Potrebno je voditi računa i o zaštiti od prirodnih prijetnji, npr. požara, poplave ili potresa. Oprema treba biti smještena u prostoru zaštidenom od krade, prašine, kemijskih efekata, vandalizma, elektromagnetske radijacije i sl.

55 Pomodna oprema poput grijanja, ventilacije, klimatizacije, vodovoda i sl. treba odgovarati sustavu za koji je pređvidena. Svi kablovi trebaju biti zašticeni od oštedenja. Opremu je potrebno servisirati i održavati u planiranim intervalima kako bi se smanjio rizik od kvarova. Prije premještanja opreme iz organizacijskih prostorija, zahtjeva se autorizacija.

56 6. Upravljanje komunikacijama i operacijama 1) Operativne procedure i odgovornosti. Ovdje se opisuje važnost i nacin dokumentiranja operativnih procedura. Sve dokumentirane procedure trebaju biti dostupne korisnicima koji ih trebaju. Sve promjene u informacijskom sustavu trebaju biti identificirane kako bi se njima moglo sustavno upravljati. Ukoliko se radi o vedim organizacijama važno je u što vedoj mjeri odvojiti pojedine dužnosti kako bi se spriječila nenamjerna modifikacija ili pogrešna primjena resursa. Razvojno, testno i operativno okruženje se takoder preporuča u što vedoj mjeri razdvojiti kako bi se spriječili operativni problemi i reducirao rizik od neovlaštenih izmjena.

57 2) Upravljanje uslugama trede strane. Cilj je implementirati i održavati sigurnosne mjere kako bi se osigurala sigurnost usluga koje pruža treda strana. Predlaže se redovito revidiranje usluge kako bi se osiguralo poštivanje ugovora s tredom stranom. Sve promjene u uslugama trebaju biti na vrijeme detektirane i uzete u obzir.

58 3) Planiranje i prihvadanje sustava. Cilj je minimizirati rizik od pogrešaka u sustavu. Planiranje i pripremanje je potrebno kako bi se osigurala raspoloživost sustava i zadovoljavanje odgovarajudih performansi sustava. U slučaju potrebe za novim sustavima, utemeljuju se sigurnosni i operativni zahtjevi. Izvode se projekcije zahtjeva za kapacitetom. Kriteriji prihvadanja novih sustava trebaju biti utemeljeni kako bi se sustav mogao ispitati prije prihvadanja.

59 4) Zaštita od maliocioznog i mobilnog koda. Mjere opreza su nužne kako bi se zaštitio integritet programske opreme i informacija. Programska oprema i informacije su osjetljivi na umetanje zlodudnog koda poput virusa, crvi, trojanskih konja i sl. Korisnici sustava trebaju biti svjesni opasnosti od zlodudnog koda. Nužno je implementirati kontrole za obranu od malicioznog koda, kao i od mobilnog koda. Dobro je potpuno zabraniti izvođenje mobilnog koda, a ukoliko to nije mogude, onda dopustiti samo izvođenje u kontroliranom okruženju.

60 5) Sigurnosne kopije. Kako bi se zaštitio integritet i raspoloživost informacija potrebno je redovito izrađivati sigurnosne kopije. Dobro je utemeljiti procedure u kojima de se definirati strategija izrade sigurnosnih kopija, frekvencija izrade kopija, načini testiranja kopija i sl.

61 6) Upravljanje mrežnom sigurnošcu. Cilj je osigurati zaštitu informacija u mrežama, kao i pripadne mrežne infrastrukture. Mreže se često pretežu izvan granica organizacije. Stoga je potrebno razmotriti tok podataka, legalne implikacije, nadzor i zaštitu mreža. Dodatne kontrole su potrebne ukoliko informacije prolaze javnim mrežama.

62 7) Rukovanje medijima. Kako bi se zaštitila tajnost informacija i spriječile neautorizirane modifikacije potrebno je kontrolirati sve vrste medija i fizicki ih zaštititi. Nakon što mediji više nisu potrebni organizaciji preporuča se njihov sadržaj uništiti. Poželjno je utemeljiti procedure za odlaganje medija. Sva sustavska dokumentacija takoder treba biti zaštidena od neovlaštenog pristupa.

63 8) Razmjena informacija. Cilj ove potkategorije je omoguditi sigurnu razmjenu informacija i programa unutar organizacije ili s nekim vanjskim entitetom. Potrebno je utemeljiti formalne procedure razmjene informacija svim vrstama komunikacijskih kanala. Ukoliko je riječ o razmjeni informacija između organizacije i vanjske stranke, predlaže se izrada sporazuma o razmjeni. Svi fizički mediji koji se iznose izvan organizacije trebaju biti zaštideni od neovlaštenog pristupa. Informacije koje su sastavni dio elektroničkih poruka trebaju biti zaštidene u skladu s njihovom osjetljivošdu.

64 9) E-trgovina. Informacije uključene u elektroničku trgovinu koje prolaze javnim mrežama trebaju biti zaštidene od neovlaštenih aktivnosti, osporavanja ugovora i neovlaštenog razotkrivanja ili modificiranja. Informacije uključene u on-line transakcije trebaju biti zaštidene od nepotpunog prijenosa, krivog usmjeravanja, neovlaštene izmjene poruka, neovlaštenog razotkrivanja i umnožavanja poruka ili odgovora. Integritet informacija koje su javno dostupne treba biti zaštiden od neovlaštene modifikacije.

65 10) Nadziranje. Sustave je potrebno nadzirati i bilježiti događaje vezane za sigurnost. Datoteke sa zapisima o korištenju sustava i greškama sustava se upotrebljavaju kako bi se identificirali problemi informacijskog sustava. Nadzor sustava služi za provjeru efikasnosti kontrola i verifikaciju uskladenosti s modelom sigurnosne politike. Potrebno je voditi dnevnike o aktivnostima korisnika, iznimkama, sigurnosnim događajima i sl. Dnevnici se trebaju čuvati odredeni period, kako bi se mogli upotrijebiti u bududim istragama i nadzoru kontrole pristupa. Potrebno je voditi dnevnike svih administratorskih i operativnih aktivnosti. Dnevnici trebaju biti zaštideni od neovlaštene modifikacije. Greške koje se dogode u sustavu takoder treba zapisivati, analizirati i poduzimati odgovarajuce mjere za njihovu sanaciju.

66 7. Kontrola pristupa 1) Poslovni zahtjevi kontrole pristupa. Pristup informacijama, kao i svim ostalim resursima, te poslovnim procesima se treba kontrolirati u skladu s poslovnim i sigurnosnim zahtjevima. Pravila kontrole pristupa trebaju uzeti u obzir politike autorizacije i pružanja informacija. Potrebno je utemeljiti, dokumentirati i, u određenim vremenskim intervalima, revidirati politiku kontrole pristupa. Pravila kontrole pristupa trebaju biti jasno definirana za svakog korisnika ili grupu korisnika u politici kontrole pristupa. Kontrole pristupa su logičke, ali i fizičke, te se zajedno trebaju i razmatrati.

67 2) Upravljanje pristupom korisnika. Potrebno je omoguditi autorizirani pristup informacijskim sustavima i spriječiti neautorizirani pristup. Da bi se to omogudilo dobro je osigurati formalne procedure za kontrolu prava pristupa informacijskim sustavima i uslugama. Procedure trebaju obrađivati cijeli ciklus pristupa korisnika, počevši od inicijalne registracije novog korisnika da ukidanja prava pristupa. Posebnu pozornost je potrebno posvetiti kontroliranju privilegiranih pristupnih prava koji korisniku omoguduju promjenu sustavskih kontrola. Dodjeljivanje i uporaba privilegija treba biti ograničena i kontrolirana. Dodjeljivanje lozinki treba biti kontrolirano kroz formalni proces. Uprava treba revidirati korisnička prava pristupa u redovitim intervalima.

68 3) Obveze korisnika. Suradnja autoriziranih korisnika je ključna za učinkovito ostvarenje sigurnosti. Korisnici trebaju biti svjesni svojih odgovornosti kako bi se održala učinkovitost pristupnih kontrola. Potrebno je utemeljiti politiku za čuvanje informacija na radnom mjestu kako bi se spriječio neautoriziran pristup informacijama i informacijskim sredstvima. Potrebno je poticati korisnike da slijede dobru sigurnosnu praksu za obabir i uporabu lozinki.

69 4) Kontrola pristupa mreži: Cilj je spriječiti neovlašten pristup mrežnim uslugama. Potrebno je kontrolirati pristup, kako unutarnjim, tako i vanjskim mrežnim uslugama. Pristup korisnika mreži i mrežnim uslugama ne smije narušiti sigurnost mrežnih usluga, a to se postiže: 1. sučeljem izmedu organizacijske mreže i mreža drugih organizacija ili javnih mreža; 2. prikladnim autentifikacijskim mehanizmima za korisnike i opremu u mreži; 3. kontrolom pristupa korisnika informacijskim uslugama.

70 Potrebno je formulirati politiku za korištenje mreže i mrežnih usluga. Predlaže se upotrebljavati samo prikladne autentifikacijske metode za kontrolu pristupa udaljenih korisnika. Autentifikacija udaljenih korisnika se može postidi, npr. upotrebom kriptografskih tehnika, sklopovskih tokena ili upit/odgovor protokola. Potrebno je uzeti u obzir automatsku detekciju opreme kao nacin autentifikacije povezivanja sa specijalnih lokacija ili opreme. Jedna od metoda kontroliranja sigurnosti u velikim mrežama je podjela na logičke domene.

71 5) Kontrola pristupa operacijskim sustavima. Sigurnosne kontrole trebaju ograničiti pristup neautoriziranim korisnicima. Te kontrole trebaju imati sljedede značajke: autentifikacija korisnika u skladu s politikom kontrole pristupa; snimanje uspješnih i neuspješnih pokušaja autentifikacije; snimanje uporabe specijalnih sustavskih privilegija; podizanje alarma u slučaju kršenja sigurnosne politike; prikladni načini autentifikacije; ograničavanje vremena povezivanja korisnika i sl.

72 6) Aplikacijska i informacijska kontrola pristupa. Cilj ove potkategorije je spriječiti neautoriziran pristup informacijama koje se nalaze u aplikacijskim sustavima. Pristup informacijama i funkcijama aplikacijskih sustava treba biti ograničen u skladu s politikom kontrole pristupa. Osjetljivi sustavi trebaju biti smješteni u izoliranom okruženju.

73 7) Mobilno računarstvo i udaljeni rad. Cilj je pružiti sigurnost kod uporabe mobilnih naprava i kod rada na daljinu. Zaštita treba odgovarati rizicima koje ovakav način rada uzrokuje. Kod uporabe mobilnih naprava potrebno je primjeniti odgovarajude kontrole za zaštitu od rizika rada u udaljenom okruženju. U slučaju rada na daljinu, organizacija treba zaštititi udaljenu lokaciju i osigurati uvjete za ovakav rad.

74 8. Nabava, razvoj i održavanje informacijskog sustava 1) Sigurnosni zahtjevi informacijskih sustava. Sigurnost treba biti integralni dio informacijskih sustava. Informacijski sustavi uključuju operacijske sustave, infrastrukture, poslovne aplikacije, gotove proizvode i usluge i aplikacije razvijene unutar organizacije. Dizajn i implementacija informacijskih sustava koji omoguduju izvođenje poslovnih aktivnosti može biti od presudne važnosti za sigurnost. Sigurnosni zahtjevi trebaju biti definirani prije razvoja i implementacije informacijskog sustava. Poslovni zahtjevi i specifikacija novog informacijskog sustava ili nadogradnja vec postojedeg sustava, treba uključivati i sigurnosne kontrole.

75 2) Ispravna obrada informacija u aplikacijama. Nastoje se spriječiti greške, gubitak ili neovlaštena modifikacija informacija u aplikacijama. U aplikacije je potrebno ugraditi kontrole kako bi se osigurala ispravna obrada informacija. Kontrole trebaju validirati unesene podatke, te kontrolirati internu obradu i izlazne podatke. Dodatne kontrole mogu biti potrebne za sustave koji obraduju osjetljive i kritične informacije.

76 3) Kriptografske kontrole. Potrebno je razviti i implementirati kriptografske kontrole za zaštitu informacija. Upravljanje kriptografskim ključevima osigurava ispravnu uporabu kriptografskih tehnika. ISO/IEC pruža dodatne informacije o upravljanju ključevima. Taj standard definira model upravljanja ključevima koji je neovisan o kriptografskom algoritmu. Identificira ciljeve upravljanja ključevima, osnovne koncepte i servise za upravljanje ključevima.

77 4) Sigurnost sustavskih datoteka. Pristup sustavskim datotekama i izvornom tekstu programa treba biti kontroliran, a IT projekti i uz njih vezane aktivnosti trebaju trebaju biti izvedeni na siguran način. Osjetljivi podaci se ne bi smjeli izlagati u testnim okruženjima. Potrebno je ugraditi procedure za kontrolu instalacije programske opreme i operacijskih sustava. Testne podatke je potrebno pažljivo birati, zaštititi i kontrolirati.

78 5) Sigurnost i razvoj programske opreme. Cilj je održati sigurnost aplikacijskih programa i pripadnih informacija. Potrebno je kontrolirati razvoj programske opreme kao i pripadno razvojeno okruženje. Voditelji koji su odgovorni za aplikacijske sustave, trebaju biti odgovorni i za sigurnost projekta i pripadnog okruženja. Trebaju osigurati da su predložene sustavske promjene provjerene i da ne kompromitiraju sigurnost sustava. Implementacija promjena treba biti kontrolirana upotrebom formalnih procedura za kontrolu promjena.

79 Kada dode do promjena u operacijskim sustavima, potrebno je ispitati i testirati kritične poslovne aplikacije kako bi se osiguralo da promjene nisu ugrozile operativnost i sigurnost organizacije. Potrebno je spriječiti curenje informacija. Kad se aplikacije razvijaju izvan organizacije, a po narudžbi organizacije, tada je potrebno da organizacija nadzire razvoj.

80 6) Upravljanje tehnickim ranjivostima. Potrebno je smanjiti rizik od eksploatacije objavljenih tehničkih ranjivosti. Upravljanje tehničkim ranjivostima treba biti obavljano sustavno i efikasno. Potrebno je na vrijeme primati informacije o tehničkim ranjivostima informacijskih sustava, procjeniti izloženost tim ranjiivostima, te poduzeti mjere za smanjenje rizika od tih ranjivosti.

81 9. Upravljanje incidentima informacijskog sustava Potrebno je osigurati da se sigurnosne slabosti i incidenti povezane s informacijskim sustavima priopde pravovremeno kako bi se na vrijeme poduzele odgovarajude mjere. Potrebno je utemeljiti formalne procedure za prijavljivanje incidenata. Svi zaposlenici, suradnici i ostali korisnici trebaju poznavati procedure za prijavljivanje razlicitih tipova incidenata koji mogu imati utjecaja na sigurnost resursa organizacije. Svi zaposlenici, suradnici i trede strane trebaju prijaviti sve sigurnosne slabosti u sustavima i uslugama koje zapaze ili na koje sumnjaju.

82 Potrebno je utemeljiti obveze i procedure za rješavanje sigurnosnih incidenata nakon što su prijavljeni. Kao rezultat nadzora, evaluacije i upravljanja sigurnosnim incidentima dolazi do kontinuiranog poboljšavanja informacijskog sustava. U nekim slučajevima je potrebno imati prikupljene dokaze o incidentu, kako bi se postiglo usklađivanje sa zakonom. U nekim slučajevima je dokaze o sigurnosnom incidentu potrebno sakupljati, čuvati i prezentirati kako bi se zadovoljili pravni zahtjevi.

83 10. Upravljanje poslovnim kontinuitetom Prekidi u odvijanju poslovnih procesa, odnosno poslovanju organizaciji uzrokuju direktno mjerljive financijske gubitke. Osim tih, mjerljivih gubitaka, prekidi u poslovanju, mogu uzrokovati i druge štete kao što su gubitak kredibiliteta kod klijenata, pozicije na tržištu, ugleda organizacije koji nisu direktno mjerljivi, ali mogu imati vrlo ozbiljne posljedice na poslovanje. Predmet analize na utjecaj poslovanja bi trebale biti katastrofe, sigurnosni propusti, nedostupnost usluga i sl.

84 Potrebno je razviti i implementirati plan poslovnog kontinuiteta kako bi se osigurao kontinuitet poslovnih operacija. Upravljanje poslovnim kontinuitetom treba uključivati kontrole za identifikaciju i smanjivanje rizika, kao dodatak opdenitim procesima procjene rizika, te osigurati da su informacije potrebne za poslovne procese lako dostupne.

85 11. Usklađivanje Svi važedi zakonski i ugovorni zahtjevi trebaju biti definirani, dokumentirani i ažurirani, kao i način na koji organizacija zadovoljava te zahtjeve. Potrebno je implementirati procedure za usklađivanje sa zakonskim i ugovornim uvjetima korištenja razlicitih materijala poštivajudi prava intelektualnog vlasništva. Važne zapise je potrebno čuvati od gubitka, uništenja, krivotvorenja u skladu sa zakonskim, ugovornim i poslovnim zahtjevima.

86 Zaštita podataka i privatnosti treba biti osigurana u skladu s relevantnim zakonima, propisima i eventualnim uvjetima ugovora. Potrebno je osigurati da su sve sigurnosne procedure implementirane korektno, kako bi se postigla njihova usklađenost sa sigurnosnim politikama i standardima. Informacijske sustave je potrebno redovito provjeravati kako bi se utvrdila usklađenost sa sigurnosnim implementacijskim standardima.