Jezik: Hrvatski

UDK: (organizator)
Kategorizacija rada: (organizator)

Jasmin Ćosić, Adis Medić

INFORMACIJSKA SIGURNOST, STANDARDI I STANJE U INSTITUCIJAMA

BIH

Sažetak
Informacijski sustavi u organizacijama su postali stalna meta napada kako iz vana, tako
i iznutra. Razloga ovome je mnogo, ali svakako najveći razlog je to da je cilj napada
krađa, uništenje ali i promjena izvornih podataka organizacije. Informacijska sigurnost
se od 2000. godine počela rapidno razvijati, a ISO organizacija (International
Organization for Standardization) je uvela nekoliko standarada koji pokrivaju ovu
oblast. Organizacije u svijetu postale su sve više svjesne činjenice da su njihovi podaci
nesigurni, te su se sve ozbiljnije počeli baviti ovom problematikom.
I Bosna i Hercegovina ide istim putem, ali dosta sporijim tempom. Autori su u radu
dali pregled ove oblasti, analizirano je stanje u BiH, te je prvi puta predstavljeno
istraživanje na temu informacijske sigurnosti a koje sadrži rezultate znanstvenih
istraživanja u jednom veoma bitnom dijelu Institucija BiH.

Ključne riječi
Informacijska sigurnost, Sigurnost eGovernment-a, Standardi informacijske sigurnosti,
ISO2700X

INFORMATION SECURITY STANDARDS AND STATE IN INSTITUTIONS

OF B&H

Abstract
Information systems in organizations have become a constant target of attacks both
from outside and inside. There are many reasons for that, but certainly the biggest
reason is that the point of attack is theft, destruction and change the original data of the
organization. Since 2000 Information security began to develop rapidly and the ISO
organization has introduced several standards that cover this area. Organizations
worldwide have become increasingly aware that their data is insecure, and they all
began to seriously address this issue. Bosnia and Herzegovina is going into the same
direction, but much slower pace.
In this paper, the authors gave an overview of this area, analyzed the situation in B&H,
and is presented research on information security which includes the results of
scientific research in a very substantial part of B&H institutions.

Key words
Information Security, eGovernment security,Standards for information security,
ISO2700X
UVOD

Danas je potreba za informacijskom sigurnošću daleko veća nego prije nekoliko godina
kada su informacijsko-komunikacijske tehnologije bile na dosta nižoj razini. Sve tvrtke,
kao sastavni dio svoga poslovanja grade informacijski sustav, bilo u marketinškom
obliku, u obliku sustava za podršku odlučivanju u poduzeću, sustava za planiranje
resursa ili jednostavno kao sustav koji olakšava svakodnevne poslove. Smatra se da su
informacija i informacijski sustav najveće blago jedne tvrtke. Prema rije;ima izvršnog
direktora Coca Cola Co. Neville Isdell: ”Informacija je izvor snage svake kompanije”.
[3] Stoga tvrtke u svijetu sve više posvećuju dužnu pažnju zaštiti svojih informacija i
informacijskoj sigurnosti. ISO/IEC 17799 standard (2005) je najčešće upotrebljavan i
korišten standard kao ključni elemenat u upravljanju informacijskom sigurnošću. [7]
Informacijska sigurnost se bavi ne samo zaštitom informacijskih sustava, u smislu
tehničke zaštite, već i samih informacija, u ma kakvom one bile obliku. Koncept
informacijske sigurnosti je dosta širok i pored tehničkih mjera zaštite , obuhvata i
fizičke mjere, logičke, programske ali i administrativne mjere.
Ove mjere su propisane serijom standarda ISO2700X. Ono što bi organizacije trebale
uraditi je navedeno u ISO27001, a u standardu ISO27002 je propisano na koji način bi
to trebalo uraditi. Sprovođenje mjera iz ovih standarda smatra se izgradnjom sustava za
upravljanje informacijskom sigurnošću. Za organizacija koja ima uvedenu formalnu
sigurnosnu politiku smatra se da su joj sigurnost i zaštita informacijskog sustava na
visokoj razini. [2] U članku se autori bave stanjem informacijske sigurnosti u državnim
institucijama u BiH, zakonskoj regulativi u ovoj državi, te o spremnosti institucija za
uvodjenjem ISO standarda, te eventualnim certificiranjem shodno ISO27006 standardu.
Prvi puta su predstavljeni preliminarni rezultati istraživanja na temu informacijske
sigurnosti u institucijama države Bosne i Hercegovine u jednom njenom segmentu.
STANDARDI INFORMACIJSKE SIGURNOSTI

Serija ISO standarda ISO27000 rezervirana je od strane ove organizacije i propisuje

infomacijsku sigurnost.
Historijski gledano, prvi dokumenat koji se bavio ovom problematikom je bio „Code of
Practice” od British Standard Institute-a, iz 1993.godine koji je 1995 godine postao
Britanski standard 7799. Nakon 5 godina ISO ga je prihvatio kao ISO17799:2000 –
međunarodni standard za informacijsku sigurnost.
2005 godine, zbog naglog razvoja informacijskih znanosti i nedostatnosti verzije 2000
standarda, objavljena je inačica ISO17799:2005.
ISO27001 iz oktobra 2005.godine , kao zamjena za BS7799-2 predstavlja specifikaciju
za sustav za upravljanje informacijskom sigurnošću-on specificira što bi trebalo uraditi
kako bi sustav bio siguran.
ISO27002, odnosno alias ISO17799 standarda, predstavlja zbirku pravila iz prakse,
odnosno specificira na koji način bi trebalo uraditi da informacijska sigurnost bude na
visokoj razini.
Pored ova dva standarda postoje i ISO27003, ISO27004, ISO27005 i ISO27006. Ovi
standardi predstavljaju preporuke za implementaciju ISMS-a, zatim upravljanje
mjerenjima i metrikom u informacijskoj sigurnosti, upravljanje rizicima, kao i sam
proces akreditacije i ISMS certificiranja organizacije. [Future 27000 standard]

Slika 1. ISO 27000 serija standarda

Izvor: vlastiti izvor

Na slici br.1 vidimo trenutno stanje [2009.g.] na polju standarda vezanih za
informacijsku sigurnost.
SIGURNOSNA POLITIKA I NAJČEŠĆE PRIJETNJE

Najbitniji segment informacijskog sustava jednog poduzeća, firme ili organizacije je

sigurnosna politika. Ukoliko informacijsku sigurnost promatramo kao osobu,
sigurnosna politika bi bila njen centralni nervi sustav. [5]
Ona predstavlja jezgro informacijske sigurnosti , i pokriva sve aspekte od
organizacijske sigurnosti, sigurnosti osoblja-fizičke sigurnosti, klasifikacije prijetnji IS-
u, prava pristupa itd. Detaljno poznavanje legislative kroz proces razvoja i
implementacije sigurosnih standarda je nedovoljno kako bi se mogao implementirati
jedan tako kompleksan plan. Potrebno je uložiti mnogo više napora – biti spreman na
efektivnu komunikaciju, imati potporu menadžmenta, identificirati kvalitetnog voditelja
projekta, te imati suradnju IT osoblja. [6]
Prema ISO17799:2000 standardu prijetnje s obzirom na uzorke nastanka mogu biti:

- prirodne katastrofe
- tehnički problemi
- nenamjerne ljudske pogreške
- namjerne ljudske pogreške

Prema CSI (Computer Security Institute) prijetnje mogu biti:

- unutarnje (sve radnje korisnika koji imaj pristup IS-u)

- spoljašnje (udaljeni pritup s ciljem nanošenja štete IS-u)

“CIA triad” (slika 2) - povjerljivost, integritet i dostupnost čine jezgro principa

informacijske sigurnosti. Sva tri principa su opisana u ISO17799 standardu. Sigurnosni
mehanizam je metod, alat ili procedura namjenjena za nametanje sigurnosne politike.
Ranjivost IS-a je i loše dizajniran sustav, bug-ovita implementacija, i problemi u radu
pri neočekivanim dešavanjima. [1]

Slika 2. CIA triad

Izvor: vlastiti izvor

ZAKONSKA REGULATIVA U BIH

Bosna i Hercegovina je država u tranziciji-država koja je, ne tako davno, izašla iz

teškog ratnog perioda. Zbog loše ekonomsko-socijalne situacije u zemlji, i razvoj
informacijskih sustava u organizacijama ali i tijelima državne uprave je na dosta niskoj
razini i limitiran i opterećen je ovim problemima. Što se tiče zakonske regulative koja
se tiče informacijske sigurnosti u BiH, donešeni su samo poneki okvirni zakoni koji
pokrivaju ovu oblast, sam “Zakon o informacijskoj sigurnosti” kao okvirni zakon , ne
postiji niti je kada bio u parlamentarnoj procedure.
Najznačajniji zakoni su svakako “Zakon o zaštiti tajnih podataka” (SG BiH 54/05),
“Zakon o zaštiti osobnih podataka” (SG BiH 32/01, 49/06), “Zako o centalnoj evidenciji
i razmjeni podataka” (SG BiH 32/01), “Zakon o komunikacijama” (SG BiH", 31/03 i
75/06)”.
U parlamentarnoj procedure se nalazi i “Zakon o Agenciji za razvoj informacijskog
društva ” (novembar 2008), ali nije još uvijek donešen. Formirana je i “Agencija za
zaštitu osobnih podataka” prema preporukama EU.
U manjem BH entitetu – Republici Srpskoj je formirana Agencija za informacijsko
društvo Republike Srpske koja se djelomice bavi i stanjem informacijske sigurnosti u
institucijama ovoga dijela Bosne i Hercegovine, ali u manjem obimu. Na državnoj
razini ne postoji nešto slično.
BiH nema CERT („Computer Emergency Response Team”) koji bi se bavio
koordinacijom i suradnjom u rješavanju sigurnosnih incidenata između zemalja, te koji
bi radio na edukaciji korisnika interneta i državne mreže na prevenciji sigurnosnih
incidenata.
Državna Agencija za identifikacione dokumente, evidenciju i razmjenu podataka
(IDDEEA), jednim dijelom radi i na zaštiti informacijskih sustava institucija BiH, ali
samo u segmentu administriranja i upravljanja SDH radio-relejnom mrežom putem koje
su povezane sve institucije BiH.
Generalne preporuke i propisi na razini BiH ne postoje.
ISTRAŽIVANJE - STANJE IS U BIH

Problem istraživanja kojim su se autori bavili u radu je usmjeren na institucije Bosne i

Hercegovine i to jedan segment institucija čiji rad se bazira na prikupljanju i
obrađivanju informacija i donošenju zaključaka na osnovu tih informacija. Predmet
istraživanja se odnosi na sigurnost informacijskih sustava u ovim institucijama.
Objekt istraživanja je jedan veoma bitan segment institucija Bosne i Hercegovine, koji
je disperziran u svim dijelovima BiH. Ukupan broj institucija je 15 a koje čine
funkcionalnu cjelinu i obavljaju istu djelatnost.
Glavna hipoteza koja je postavljena je :”Sigurnost informacijskih sustava u inititucijama
BiH je na veoma niskoj razini, zbog zanemarivanja ove obasti od strane države.”

Svrha i ciljevi istraživanja su dati odgovor na sljedeća pitanja te na osnovu toga

predložiti rješenje problema:

1. Postojanje radnog mjesta „Menadžer za sigurnost IS-a”

2. Adekvatna popunjenost tog radnog mjesta
3. Saznjanja o ISO 27001 i ISO27002
4. Implementiranost sigurnosne politike u institucijama
5. Donošenje ili ne dokumenata o informacijskoj sigurnosti
6. Implementiranost ili ne „Intrusion detected system” (IDS-a)
7. Bilježenje ili ne nekog sigurnosnog incidenta (propusta) ?

Istraživanjem je obuhvaćeno 15 institucija – na državnoj, entitetskoj i županijskoj

razini, što predstavlja 100% uzorak u ovoj oblasti koja je uzeta kao uzorak.
Istraživanje je vršeno putem on-line ankete, koja je postavljena na autorovom web site-u
na web adresi: http://cosic.com.ba/index.php?
option=com_jforms&view=form&id=3&Itemid=44 .
Na slici br.3 je predstavljen on-line obrazac koji se koristio kao metoda tijekom cijelog
istraživanja.
Slika 3. Anketa sa pitanjima namjenjena IT menadžerima

Izvor: vlastiti izvor

Putem e-maila ili u telefonskom razgovoru najkompetentnije osobe (IT menadžeri) su

zamoljeni da daju iskrene odgovore na 14 pitanja.
Pitanja su se odnosila na postojenje ili ne postojanje radnog mjesta menadžera za IT
sigurnost, popunjenosti tog radnog mjesta, saznanja o ISO27001 i ISO27002,
implementaciji sigurnosne politike u instituciji, formalnom ili neformalnom postojanju
ove politike, donošenju potrebnih dokumenata, te o tome da li organizacije imaju
implementiran IDS (intrusion detection system - sustav za detekciju upada), te da li su
do sada imali zabilježenih sigurnosnih incidenata.
Cilj je bio da se vidi na kojoj razini se nalazi informacijska sigurnost u BiH, te da se
daju preporuke za budući rad i istraživanja na ovu temu, a prvenstveno na uporedbu
BiH sa zemljama u okruženju , te sa EU i NATO smjernicama.
Prema rezultatima, od 15 institucija koje su ispitane, samo 26 % institucija
imaju sistematizirano ali ne i adekvatno popunjeno radno mjesto „menadžera za
informacijsku sigurnost”, 66% institucija je čulo za ISO2700 seriju standarda, svega 20
% institucija imaju implementiranu sigurnosnu politiku , 46% ih planira uvodjenje, a
40% ne planira u bliskoj budućnosti. Svega 13% institucija u trenutku vršenja
istraživanja planira certifikaciju po ISO27001 standaru.
Od dokumenata vezanih za informacijsku sigurnost, 86% institucija ima
implementiranu samo fizičku sigurnost, 20% sigurnost radnog mjesta, 33% sigurnost
komunikacija.
Svega 33% institucija ima donešen formalni dokumenat „politika fizičke zaštite ”, 20%
ima donešen dokumenat „politiku info.sigurnosti radnog mjesta”.
Čak 66% institucija nema donešen nikakav formali akt, ali ima u planu skoro donešenje.
53% institucija ima implementiran IDS (Intrusion detection system), a 26% je imalo do
sada zabilježen neki sigurnosni propust ili incident. Niti jedna institucija nije
certificirana prema ISO normama i standardima.

Slika 4. Preliminarni rezultati istraživanja

Rezultati istraživanja
Sistematizirano radno
26% 26% mjesto "menadžer za
sigurnost"
20% Implementirana
sigurnosna politika
53%
U skoroj budućnosti
46% planira se uvodjenje
politike
Planirano certificiranje po
ISO27000
66%
13% Nema nikakav formalni
dokumenat

Izvor: vlastiti izvor

ZAKLJUČAK I PREPORUKE

Ubrzan razvoj IKT-a, a posebno interneta , web tehnologija te web 2.0 servisa, donio je
i veliki broj potencijalnih prijetnji informacijskim sustavima kako malim tvrtkama ,
tako i velikim korporacijama i državnim institucijama.
Podaci su postali meta zlonamjernih korisnika, te je stoga i neophodna njihova
adekvatna zaštita. Iz godine u godinu broj prijetnji raste, a mijenja se i njihov oblik i
način njihovog izvršenja.
Ukoliko bi nekom od dostupnih metoda procjene kvalitete informacijskog sustava
(COBIT, ITIL, SIX SIGMA, CMMI, ISO i sl.) vrijednovali rezultate dobivene u
istraživanju uvjerili bi se da se sigurnost IS-a u ciljanim institucijama nalazi na veoma
niskoj razini.
Npr. Prema COBIT DS5 (osiguranje sistema sigurnosti) gdje se zrelost rangira od 0-5 ,
u slučaju istraživanja stanja sigurnosti u institucijama zrelost bi se mogla rangirati sa 1 –
Inicijalna ili početna faza, gdje postoji „prepoznavanje“ potrebe za upravljanje
informacijskom sigurnošću ali nema standardizirnih procedura, ne postoji sistematski
pristup, nego samo ad-hook , sporadično prepoznavanje potreba od strane pojedinaca ili
od slučaja do slučaja [COBIT].
Iz rezultata istraživanja sprovedenog ovom anketom vidljivo je da je informacijska
sigurnost ogranizacija u BiH na niskoj razini, da veoma mali procenat institucija ima
implementiranu sigurnosnu politiku, ali da je „krivac” za to velikim dijelom i zakonska
regulativa, te zanemarivanje IT-a od strane države.
Ne postoji Agencija na državnoj razini koja bi se bavila ovim problemom, ali isto tako
ne postoji niti okvirni Zakon. Informacijski sustavi ovih organizacija su distribuirani,
nema centraliziranog upravljanja. Razvoj ovih sustava je spušten na razinu županija,
postoji oko 20 organizacijskih dijelova – potputno neovisnih koji upravljaju cijelim IS-
om, ali i njegovom sigurnošću, što je dovelo do velike disperzije, nepovezanosti i
fragmentiranosti. Sljedeći problem je loša i nekvalificirana popunjenost radnih mjesta u
ovim institucijama, naročito stručnjaka za sigurnost. Razlog ovomu je i nepostojanje
ovih radnih mjesta u „Pravilnicima o unutarnjoj organizaciji i sistamatizaciji radnih
mjesta”, što je opet problem za sebe, jer su svi pravilnici raziličiti, neusklađeni i
nestručno pisani.
Pozitivno u svemu je što su institucije svjesne vrijednosti informacija, te su spremne da
ulažu u uvodjenje sigurnosne politike, te zaštitu svojih IS-a, a što je i trenutni trend,
zbog zahtjeva EU, te Agende za Jugoistočnu Europu.
Ulaganja u informacijsku sigurnost su neminovnost , potreba i institucije u BiH toga
postaju svjesne.
LITERATURA

[1] Andy J.A.Wand: Information security models and metrics, Proceeding of the
43rd annual Southeast regional conference, Georgia, 2006

[2] CARNet „Sigurnosna politika“, CCERT-PUBDOC-2009-05-265, Zagreb, 2009

[3] Carrol M.: Information Security:Examinating and Managing the insider

Threat,InfoSecCD Conference, Kennesaw,GA, USA, 2006

[4] Diffie W.: Information security:50 Years behind, 50 Years ahead,

Communications of the ACM, ACM Vol.51, No1, 2008

[5] Pelher T.R.mPelher J.: Information Security fundamentals, CRC Press, 2005

[6] Walton J.P.: Developing and Enterprise Information Security Policy, SIGUCCS
02, Providence Rhode Island, USA, ACM, 2002

[7] Winader T.: Implementing the ISO/IEC 17799 standard in practice /

experiences on audit phases, Australian Information Security Conference / AISC2008,
Wollongong, Australio, 2008

Ostali materijali

Norme:
 An Introduction to ISO 27001, ISO 27002....ISO 27008, www.27000.org,
( 20.08.2009.g.)
 COBIT metodologija, V.4.1
 Future 27000 Standards, http://www.27000.org/future.htm ,
(25.08.2009.g.)
 Kodeks prakse, ISO17799:2000
Internet:
 Computer Security Institute , http://www.gocsi.com, (01.09.2009.)
 What is the CIA triad http://www.zdnetasia.com, (25.08.2009.)
 eSEE Agenda Plus for the Development of the Information Society in SEE
2008, http://www.e-hrvatska.hr, (01.09.2009.)
Podaci o autoru/autorima

1.
Jasmin Ćosić,dipl.ing.IT
MUP USK Bihać,
PhD Student – FOI Varaždin
Bihać
Bosna i Hercegovina
jascosic@bih.net.ba
2.
Adis Medić,dipl.ing.el.
d.o.o. „INFOSYS“,
PhD Student – FOI Varaždin
Bos.Krupa
Bosna i Hercegovina
adismedic@hotmail.com

Prijedlog autora za kategorizaciju rada

Znanstveni rad
(sadrži neobjavljene rezultate izvornih
Izvorni znanstveni članak
znanstvenih istraživanja)
(sadrži rezultate znanstvenih istraživanja
X Prethodno priopćenje
koji zahtijevaju brzo objavljivanje)
(sadrži izvorni, sažet i kritički prikaz
Pregledni članak istraživačkog područja ili njegova dijela, s
istaknutim autorovim doprinosom)
(sadrži neobjavljeno izlaganje sa
Izlaganje sa znanstvenog skupa
znanstvenog skupa)
Stručni rad
(sadrži korisne priloge za struku iz
Stručni članak
određenog područja)

Prijedlog autora za način prezentacije rada na Konferenciji

(tijekom Konferencije
X Prezentacija s računalom i digitalnim projektorom u određenoj sekciji,
MS Power Point)
(tijekom Konferencije,
Poster u poster sekciji,
poster A2 na panou)