Professional Documents
Culture Documents
UDK: (organizator)
Kategorizacija rada: (organizator)
Sažetak
Informacijski sustavi u organizacijama su postali stalna meta napada kako iz vana, tako
i iznutra. Razloga ovome je mnogo, ali svakako najveći razlog je to da je cilj napada
krađa, uništenje ali i promjena izvornih podataka organizacije. Informacijska sigurnost
se od 2000. godine počela rapidno razvijati, a ISO organizacija (International
Organization for Standardization) je uvela nekoliko standarada koji pokrivaju ovu
oblast. Organizacije u svijetu postale su sve više svjesne činjenice da su njihovi podaci
nesigurni, te su se sve ozbiljnije počeli baviti ovom problematikom.
I Bosna i Hercegovina ide istim putem, ali dosta sporijim tempom. Autori su u radu
dali pregled ove oblasti, analizirano je stanje u BiH, te je prvi puta predstavljeno
istraživanje na temu informacijske sigurnosti a koje sadrži rezultate znanstvenih
istraživanja u jednom veoma bitnom dijelu Institucija BiH.
Ključne riječi
Informacijska sigurnost, Sigurnost eGovernment-a, Standardi informacijske sigurnosti,
ISO2700X
Abstract
Information systems in organizations have become a constant target of attacks both
from outside and inside. There are many reasons for that, but certainly the biggest
reason is that the point of attack is theft, destruction and change the original data of the
organization. Since 2000 Information security began to develop rapidly and the ISO
organization has introduced several standards that cover this area. Organizations
worldwide have become increasingly aware that their data is insecure, and they all
began to seriously address this issue. Bosnia and Herzegovina is going into the same
direction, but much slower pace.
In this paper, the authors gave an overview of this area, analyzed the situation in B&H,
and is presented research on information security which includes the results of
scientific research in a very substantial part of B&H institutions.
Key words
Information Security, eGovernment security,Standards for information security,
ISO2700X
UVOD
Danas je potreba za informacijskom sigurnošću daleko veća nego prije nekoliko godina
kada su informacijsko-komunikacijske tehnologije bile na dosta nižoj razini. Sve tvrtke,
kao sastavni dio svoga poslovanja grade informacijski sustav, bilo u marketinškom
obliku, u obliku sustava za podršku odlučivanju u poduzeću, sustava za planiranje
resursa ili jednostavno kao sustav koji olakšava svakodnevne poslove. Smatra se da su
informacija i informacijski sustav najveće blago jedne tvrtke. Prema rije;ima izvršnog
direktora Coca Cola Co. Neville Isdell: ”Informacija je izvor snage svake kompanije”.
[3] Stoga tvrtke u svijetu sve više posvećuju dužnu pažnju zaštiti svojih informacija i
informacijskoj sigurnosti. ISO/IEC 17799 standard (2005) je najčešće upotrebljavan i
korišten standard kao ključni elemenat u upravljanju informacijskom sigurnošću. [7]
Informacijska sigurnost se bavi ne samo zaštitom informacijskih sustava, u smislu
tehničke zaštite, već i samih informacija, u ma kakvom one bile obliku. Koncept
informacijske sigurnosti je dosta širok i pored tehničkih mjera zaštite , obuhvata i
fizičke mjere, logičke, programske ali i administrativne mjere.
Ove mjere su propisane serijom standarda ISO2700X. Ono što bi organizacije trebale
uraditi je navedeno u ISO27001, a u standardu ISO27002 je propisano na koji način bi
to trebalo uraditi. Sprovođenje mjera iz ovih standarda smatra se izgradnjom sustava za
upravljanje informacijskom sigurnošću. Za organizacija koja ima uvedenu formalnu
sigurnosnu politiku smatra se da su joj sigurnost i zaštita informacijskog sustava na
visokoj razini. [2] U članku se autori bave stanjem informacijske sigurnosti u državnim
institucijama u BiH, zakonskoj regulativi u ovoj državi, te o spremnosti institucija za
uvodjenjem ISO standarda, te eventualnim certificiranjem shodno ISO27006 standardu.
Prvi puta su predstavljeni preliminarni rezultati istraživanja na temu informacijske
sigurnosti u institucijama države Bosne i Hercegovine u jednom njenom segmentu.
STANDARDI INFORMACIJSKE SIGURNOSTI
- prirodne katastrofe
- tehnički problemi
- nenamjerne ljudske pogreške
- namjerne ljudske pogreške
Rezultati istraživanja
Sistematizirano radno
26% 26% mjesto "menadžer za
sigurnost"
20% Implementirana
sigurnosna politika
53%
U skoroj budućnosti
46% planira se uvodjenje
politike
Planirano certificiranje po
ISO27000
66%
13% Nema nikakav formalni
dokumenat
Ubrzan razvoj IKT-a, a posebno interneta , web tehnologija te web 2.0 servisa, donio je
i veliki broj potencijalnih prijetnji informacijskim sustavima kako malim tvrtkama ,
tako i velikim korporacijama i državnim institucijama.
Podaci su postali meta zlonamjernih korisnika, te je stoga i neophodna njihova
adekvatna zaštita. Iz godine u godinu broj prijetnji raste, a mijenja se i njihov oblik i
način njihovog izvršenja.
Ukoliko bi nekom od dostupnih metoda procjene kvalitete informacijskog sustava
(COBIT, ITIL, SIX SIGMA, CMMI, ISO i sl.) vrijednovali rezultate dobivene u
istraživanju uvjerili bi se da se sigurnost IS-a u ciljanim institucijama nalazi na veoma
niskoj razini.
Npr. Prema COBIT DS5 (osiguranje sistema sigurnosti) gdje se zrelost rangira od 0-5 ,
u slučaju istraživanja stanja sigurnosti u institucijama zrelost bi se mogla rangirati sa 1 –
Inicijalna ili početna faza, gdje postoji „prepoznavanje“ potrebe za upravljanje
informacijskom sigurnošću ali nema standardizirnih procedura, ne postoji sistematski
pristup, nego samo ad-hook , sporadično prepoznavanje potreba od strane pojedinaca ili
od slučaja do slučaja [COBIT].
Iz rezultata istraživanja sprovedenog ovom anketom vidljivo je da je informacijska
sigurnost ogranizacija u BiH na niskoj razini, da veoma mali procenat institucija ima
implementiranu sigurnosnu politiku, ali da je „krivac” za to velikim dijelom i zakonska
regulativa, te zanemarivanje IT-a od strane države.
Ne postoji Agencija na državnoj razini koja bi se bavila ovim problemom, ali isto tako
ne postoji niti okvirni Zakon. Informacijski sustavi ovih organizacija su distribuirani,
nema centraliziranog upravljanja. Razvoj ovih sustava je spušten na razinu županija,
postoji oko 20 organizacijskih dijelova – potputno neovisnih koji upravljaju cijelim IS-
om, ali i njegovom sigurnošću, što je dovelo do velike disperzije, nepovezanosti i
fragmentiranosti. Sljedeći problem je loša i nekvalificirana popunjenost radnih mjesta u
ovim institucijama, naročito stručnjaka za sigurnost. Razlog ovomu je i nepostojanje
ovih radnih mjesta u „Pravilnicima o unutarnjoj organizaciji i sistamatizaciji radnih
mjesta”, što je opet problem za sebe, jer su svi pravilnici raziličiti, neusklađeni i
nestručno pisani.
Pozitivno u svemu je što su institucije svjesne vrijednosti informacija, te su spremne da
ulažu u uvodjenje sigurnosne politike, te zaštitu svojih IS-a, a što je i trenutni trend,
zbog zahtjeva EU, te Agende za Jugoistočnu Europu.
Ulaganja u informacijsku sigurnost su neminovnost , potreba i institucije u BiH toga
postaju svjesne.
LITERATURA
[1] Andy J.A.Wand: Information security models and metrics, Proceeding of the
43rd annual Southeast regional conference, Georgia, 2006
[5] Pelher T.R.mPelher J.: Information Security fundamentals, CRC Press, 2005
[6] Walton J.P.: Developing and Enterprise Information Security Policy, SIGUCCS
02, Providence Rhode Island, USA, ACM, 2002
Ostali materijali
Norme:
An Introduction to ISO 27001, ISO 27002....ISO 27008, www.27000.org,
( 20.08.2009.g.)
COBIT metodologija, V.4.1
Future 27000 Standards, http://www.27000.org/future.htm ,
(25.08.2009.g.)
Kodeks prakse, ISO17799:2000
Internet:
Computer Security Institute , http://www.gocsi.com, (01.09.2009.)
What is the CIA triad http://www.zdnetasia.com, (25.08.2009.)
eSEE Agenda Plus for the Development of the Information Society in SEE
2008, http://www.e-hrvatska.hr, (01.09.2009.)
Podaci o autoru/autorima
1. 2.
Jasmin Ćosić,dipl.ing.IT Adis Medić,dipl.ing.el.
MUP USK Bihać, d.o.o. „INFOSYS“,
PhD Student – FOI Varaždin PhD Student – FOI Varaždin
Bihać Bos.Krupa
Bosna i Hercegovina Bosna i Hercegovina
jascosic@bih.net.ba adismedic@hotmail.com
Znanstveni rad
(sadrži neobjavljene rezultate izvornih
Izvorni znanstveni članak
znanstvenih istraživanja)
(sadrži rezultate znanstvenih istraživanja
X Prethodno priopćenje
koji zahtijevaju brzo objavljivanje)
(sadrži izvorni, sažet i kritički prikaz
Pregledni članak istraživačkog područja ili njegova dijela, s
istaknutim autorovim doprinosom)
(sadrži neobjavljeno izlaganje sa
Izlaganje sa znanstvenog skupa
znanstvenog skupa)
Stručni rad
(sadrži korisne priloge za struku iz
Stručni članak
određenog područja)
(tijekom Konferencije
X Prezentacija s računalom i digitalnim projektorom u određenoj sekciji,
MS Power Point)
(tijekom Konferencije,
Poster u poster sekciji,
poster A2 na panou)