US - Osnove Zaštosnove Zastite Informacija

Gojko Grubor
Milan Milosavljevi
G
o
j
k
o

G
r
u
b
o
r
M
i
l
a
n

M
i
l
o
s
a
v
l
j
e
v
i
O
S
N
O
V
E

Z
A
T
I
T
E

I
N
F
O
R
M
A
C
I
J
A
OSNOVE
ZATITE
INFORMACIJA
Metodoloko - tehnoloke osnove
UNIVERZITET SINGIDUNUM
Gojko Grubor
Milan Milosavljevi
OSNOVE ZATITE INFORMACIJA
Metodoloko - tehnoloke osnove
Beograd, 2010.
OSNOVE ZATITE INFORMACIJA: Metodoloko - tehnoloke osnove
Autori:
Doc. dr Gojko Grubor
Prof. dr Milan Milosavlejvi
Recenzen:
Prof. dr Milovan Stanii
Prof. dr Branko Kovaevi
Izdava:
UNIVERZITET SINGIDUNUM
Beograd, Danijelova 32
www.singidunum.ac.rs
Za izdavaa:
Prof. dr Milovan Stanii
Tehniki urednik:
Novak njegu
Dizajn korica:
Aleksandar Mihajlovi
Lektor:
Snjeana Krs
Godina izdanja:
2010.
Tira:
300 primeraka
tampa:
Mladost Grup
Loznica
ISBN 978-87-7912-313-8
Copyright:
2010 Univerzitet Singidunum
Izdava zadrava sva prava.
Reprodukcija pojedinih delova ili celine ove publikacije nije dozvoljena.
III
POO
PREDGOVOR
Udbenik Osnove zate informacija metodoloko tehnoloke osnove je drugo izda-
nje, proireno, obnovljeno i aurirano sa savremenim trendovima u oblas zate infor-
macija u elektronskom okruenju. Namenjen je studenma osnovnih studija i u osnovi je
usklaen sa silabusom predmeta Osnove zate informacija. Udbenik sadri i ire infor-
macije iz oblas zate informacija u elektronskom okruenju, tako da ga mogu koris i
profesionalci u za, koji ele sistemazova i upotpuni svoja znanja.
Glavni cilj pisanja ovog udbenika je, da se raznovrsna i obimna teorija, dostupna
uglavnom u stranoj literaturi, standardima i autorskim radovima na Internetu, sistema-
zuje, terminoloki ujednai i priblii studenma i prosenim korisnicima IKT sistema, koji
ele unapredi znanja u kompleksnoj oblas zate informacija. Smanjenje kompleks-
nos terminologije zate jedan je od stratekih ciljeva teorije i prakse zate. Time se
pose vea razumljivost i bolja korisnika prihvatljivost zate informacija, to je esto
problem za obine korisnike, menadere i vlasnike IKT sistema. Brojni funkcionalni, gra-
ki, strukturni i objektno orijensani modeli, uzorci i primeri da u udbeniku i prilozima,
koji je sastavni deo udbenika, takoe, doprinose smanjenju kompleksnos problemake
zate informacija u elektronskom okruenju.
Metodoloki, udbenik je koncipiran u dve glave: Bezbednost informacionih sistema i
Upravljanje sistemom zate informacija. Svako poglavlje je struktuirano modularno, sa
uvodom, razradom razmatranog problema, rezimeom, kljunim terminima i pitanjima za
ponavljanje. Spisak koriene i ire literature dat je na kraju svake glave.
Za obradu celokupne problemake zate informacija u elektronskom okruenju
korieni su i razmatrani koncep: terminologije zate, stratekog i takkog reavanja
problema zate, reakvnih i proakvnih sistema zate, sistemskog, procesnog i obje-
ktno orijensanog pristupa za informacija.
IV
KO FOJ
U prvoj glavi denisani su i opisani u 9 poglavlja metodoloke i tehnoloke osnove
zate poslovnih IKT sistema, odnosno, informacija kao najvrednije imovine svake orga-
nizacije. Metodoloki aspekt obuhvata: denicije kljunih termina; principe, relevantne
standarde i normave zate; koncepte reakvne i proakvne zate; koncepte servisa,
mehanizama i kontrola zate; metodologije i modele zate. Tehnoloki aspekt obuhva-
ta osnovne tehnike i alate zate raunarskih sistema i raunarskih mrea.
U drugoj glavi, Upravljanje sistemom zate informacija, u 9 poglavlja obraene su:
upravljake, operavne i kontrolne komponente zate, ukljuujui metode za upra-
vljanje sistemom zate i bezbednosnim rizikom; razvoj i implementaciju programa,
plana, polika i procedura zate; nadzor, kontrolu i reviziju sistema zate; upravljanje
kompjuterskim incidentom, vanrednim dogaajem, zikom i personalnom zatom,
obukom i obrazovanjem u za i serkacijom i akreditacijom sistema zate.
U dvanaest priloga date su liste relevantnih standarda zate, brojni primeri bezbed-
nosne kategorizacije, malicioznih programa, ranjivos i pretnji IKT sistema, kao i graki
modeli kongurisanja logikih barijera u raunarskoj mrei i metodi procene ukupnog
bezbednosnog rizika.
Autori se zahvaljuju recenzenma prof. dr Milanu Staniiu i prof. dr Branku Kova-
eviu na korisnim sugesjama, lektoru Snjeani Krs na pravopisnim ispravkama,
Aleksandru Mihajloviu na dizajnu korica i Novaku Njeguu na prelomu i tehnikoj obra-
di ovog udbenika.
V
SJ
UVKD XV
GLAVA I
BEZBEDNOST INFORMACIONIH SISTEMA
1. BEZBEDNOST I ZATITA INFORMACIJA 3
1.1. UVKD 3
1.2. BEZBEDNKST IN&KRMACI:A 4
1.2.1. Denicije pojmova bezbednost i sigurnost informacija 4
1.2.2. &unkcionalna zavisnost bezbednost pretnje 6
1.2.3. Glavni faktori ucaja na bezbednosno stanje ikts 7
1.3. KPaTA DE&INICI:A SISTEMA ZAaTITE 9
1.3.1. Ksnovne funkcionalnos sistema zate 10
1.3.2. Informacioni sistem kao objekat zate 11
1.3.3. Generiki, funkcionalni model sistema zate 13
1.3.4. Denisanje opmalnog sistema zate 14
1.3.5. Promena paradigme zate ikts i informacija 16
1.3.6. Kp metod implementacije sistema zate 18
1.4. REZIME 22
1.5. KL:UNI TERMINI 24
1.6. PITAN:A ZA PKNAVL:AN:E 25
2. PRINCIPI, STANDARDI I NORMATIVI ZATITE 28
2.1. UVKD 28
2.2. SISTEMSKI PRINCIPI ZAaTITE 29
2.3. KPaTE PRIHVAENI PRINCIPI ZAaTITE 30
2.3.1. Namena gaisp principa zate 30
2.3.2. Struktura GAISP principa zate 30
2.3.2.1. Op GAISP principi zate 31
2.3.2.2. Funkcionalni GAISP principi zate 32
2.3.2.3. Detaljni GAISP principi zate 32
2.4. STANDARDI ZAaTITE 33
2.4.1. Generika denicija standarda zate 33
2.4.2. Kp model standarda zate 33
2.4.3. Tela za standardizaciju zate 34
2.4.4. Klasikacija standarda zate 35
SADRAJ
VI
KO O FOJ
2.4.5. Prednos i nedostaci standarda zate 37
2.5. NKRMATIVNI KKVIR ZAaTITE 37
2.6. DKKUMENTACI:A ZAaTITE 38
2.7. REZIME 40
3. METODOLOGIJE, MODELI I OKVIRI SISTEMA ZATITE 44
3.1. UVKD 44
3.2. METKDKLKaKI KKVIRI ZA RAZVK: SISTEMA ZAaTITE 44
3.3. MKDELKVAN:E SISTEMA ZAaTITE 47
3.3.1. Strukturni modeli distribuiranog IKT sistema 47
3.3.2. Kbjektno orijensano modelovanje sistema zate 49
3.4. REZIME 52
4. KONCEPTI SISTEMA ZATITE 54
4.1. UVKD 54
4.2. KKNCEPT SISTEMA REAKTIVNE ZAaTITE 54
4.2.1. Sistem reakvne zate 54
4.2.1.1. Funkcionalni model reakvne zate 55
4.2.1.2. Ocena kvaliteta sistema reakvne zate 56
4.3. KKNCEPT SISTEMA PRKAKTVNE ZAaTITE 57
4.3.1. &unkcionalni model proakvne zate 58
4.4. KKNCEPT KKNTRKLA ZAaTITE 61
4.4.1. Ksnovne karakteriske kontrola zate 61
4.4.2. Skup kontrola za sistem osnovne zate 63
4.4.3. Proces selekcije i implementacije kontrola zate 64
4.4.4. Procena efekvnos kontrola zate 66
4.4.5. Dokumentovanje kontrala zate u planu zate 67
4.5. REZIME 67
5. OPTI MODEL SERVISA ZATITE 71
5.1. UVKD 71
5.2. SERVISI ZAaTITE 72
5.2.1. Misija i ciljevi sistema zate 72
5.2.2. Meuzavisnost bezbednosnih ciljeva 73
5.3. KPaTI MKDEL SERVISA ZAaTITE 74
5.4. RAZVK: I IMPLEMENTACI:A SERVISA ZAaTITE 80
5.4.1. Isporuka servisa zate 80
5.5. REZIME 81
VII
SJ
5.7. PITAN:E ZA PKNAVL:AN:E 82
6. METRIKI SISTEMI ZATITE INFORMACIJA 84
6.1. UVKD 84
6.2. METKDKLKGI:A METRIKE SISTEMA ZAaTITE IN&KRMACI:A 84
6.2.1. Denicije pojmova 84
6.2.2. Principi, namena, program i procesi metrikog sistema 85
6.2.3. Ksnovne karakteriske metrika zate informacija 88
6.2.4. Procesno orijensani metriki sistemi 89
6.2.5. Izbor pa i razlozi za primenu metrika zate 91
6.2.6. Primeri metrikih sistema operavnih kontrola zate 92
6.2.7. Prezentovanje metrika zate informacija 93
6.2.8. Prednos i nedostaci metrikih sistema zate 95
6.3. REZIME 96
7. TAKSOMOMIJA PRETNJI I MALICIOZNIH PROGRAMA 100
7.1. UVKD 100
7.2. PRETN:E I NAPADI 100
7.2.1. Taksonomije pretnji i napada 100
7.3. PREGLED MALICIKZNIH PRKGRAMA 105
7.3.1. Ksnovne vrste savremenih malicioznih programa 105
7.3.2. Taksonomija virusa 106
7.3.2.1. Mehanizmi irenja virusa 108
7.3.3. Karakteriske crva 110
7.3.4. Kombinovani napad 111
7.3.5. Trojanci i ostali maliciozni programi 112
7.3.6. Metodi skrivanja malicioznih programa 114
7.4. DISTRIBUCI:A MALICIKZNIH PRKGRAMA 116
7.5. MERE ZAaTITE I KPKRAVAK SISTEMA KD MALICIKZNIH NAPADA 120
7.6. REZIME 122
8. TEHNOLOGIJE ZA ZATITU RAUNARSKIH SISTEMA 127
8.1. UVKD 127
8.2. KLASI&IKACI:A ALATA ZA ZAaTITU 127
8.3. MEHANIZMI ZAaTITE RAUNARSKKG SISTEMA 129
8.3.1. Apstraktni bezbednosni slojevi raunarskog sistema 129
8.3.2. Podsistem za zatu os (nosss) 130
8.3.3. Logika kontrola pristupa raunarskom sistemu 131
8.3.3.1. Mehanizmi logike kontrole pristupa 132
VIII
KO O FOJ
8.3.3.2. Univerzalni mehanizmi logike kontrole pristupa 134
8.3.4. Zata integriteta raunarskog sistema 135
8.3.5. Mehanizmi za detekciju i spreavanje upada u sistem 139
8.3.6. Mehanizmi za zatu poverljivos i integriteta podataka 140
8.3.6.1. Osnovi kriptograje - simetrini ifarski sistemi 142
8.3.6.2. Osnovi kriptograje asimetrini ifarski sistemi 143
8.4. REZIME 145
9. TEHNOLOGIJE ZA ZATITU RAUNARSKIH MREA 150
9.1. UVKD 150
9.2. SERVIS LKGIKE KKNTRKLE PRISTUPA RAUNARSKK: MREI 150
9.2.1. Mehanizmi logike kontrole pristupa raunarskoj mrei 150
9.2.1.1. Logike mrene barijere 151
9.2.1.2. Proksi serveri 153
9.2.1.3. Web lteri 153
9.2.1.4. Autenkacioni protokoli 154
9.2.1.5. Serveri za autenkaciju i autorizaciju 157
9.2.1.6. Smart karce i kriptografski moduli 159
9.2.1.7. Ostali autenkacioni ureaji i protokoli 160
9.2.2. Zata integriteta raunarske mree 162
9.2.2.1. Skeneri ranjivos raunarske mree 162
9.2.2.2. Skeneri telefonskih veza 165
9.2.3. Mehanizmi za detekciju i spreavanje upada u mreu 166
9.2.4. Infrastrukturni mehanizmi za zatu raunarske mree 168
9.2.4.1. Infrastruktura sa javnim kljuem 168
9.2.4.2. IPSec protokol 173
9.2.5. Bezbednost beinih lokalnih mrea 177
9.3. REZIME 181
9.6. LITERATURA 186
GLAVA II
UPRAVLJANJE SISTEMOM ZATITE INFORMACIJA
1. UPRAVLJANJE ZATITOM INFORMACIJA 193
1.1. UVKD 193
1.2. METKDKLKaKI KKVIR ZA UPRAVL:AN:E ZAaTITKM 194
1.2.1. Principi upravljanja zatom 194
1.2.2. Uloge i odgovornos 194
1.2.3. Generiki proces upravljanja zatom informacija 195
1.2.4. Sistem upravljanja zatom informacija. 197
IX
SJ
1.2.4.1. Uspostavljanje ISMS 198
1.2.4.2. Administracija sistema zate 200
1.2.4.3. Metrika za evaluaciju upravljanja sistemom zate 200
1.2.5. Ktvoreni problemi upravljanja zatom informacija 201
1.2.6. Preporuke za upravljanje zatom informacija 202
1.3. REZIME 205
2. UPRAVLJANJE BEZBEDNOSNIM RIZIKOM 209
2.1. UVKD 209
2.2. KPaTA METKDKLKGI:A ZA UPRAVL:AN:E RIZIKKM 210
2.2.1. Glavni principi upravljanja rizikom 210
2.2.2. Generiki metod kvalitavne procene rizika 213
2.2.3. &ormalna metodologija za procenu rizika 214
2.2.3.1. Uspostavljanje konteksta za procenu rizika 216
2.2.3.2. Proces analize i evaluacije rizika 218
2.2.3.3. Modeli procena ukupnog bezbednosnog rizika 228
2.3. REZIME 229
3. UPRAVLJANJE PROGRAMOM ZATITE INFORMACIJA 234
3.1. UVKD 234
3.2. RAZVK: I STRUKTURA PRKGRAMA, PLANA I PKLITIKE ZAaTITE 235
3.2.1. Struktura programske polike zate 235
3.2.2. Razvoj i struktura plana zate 235
3.2.2.1. Uloge i odgovornos 236
3.2.2.2. Upravljanje promenama 237
3.2.3. Razvoj i struktura polike i procedura zate 237
3.2.3.1. Struktura i taksonomija polike zate 238
3.2.3.2. Razvoj polike zate 241
3.2.3.3. Razvoj procedura zate 245
3.3. PREPKRUENA DKKUMENTACI:A ZA IMPLEMENTACI:U ISMS 246
3.4. USPKSTAVL:AN:E UPRAVL:AKKG KKVIRA SISTEMA ZAaTITE 248
3.5. REZIME 250
4. NADZOR, KONTROLA I REVIZIJA SISTEMA ZATITE 255
4.1. UVKD 255
4.2. PRKCESI NADZKRA, KKNTRKLE I REVIZI:E SISTEMA ZAaTITE 255
4.2.1. Glavni aspek procesa kontrole i revizije sistema zate 256
4.2.2. Planiranje nadzora, kontrole i revizije sistema zate 257
X
KO O FOJ
4.3. REZIME 261
5. UPRAVLJANJE KOMPJUTERSKIM INCIDENTOM I VANREDNIM DOGAAJEM 264
5.1. UVKD 264
5.2. KKMP:UTERSKI DKGAA: I KKMP:UTERSKI INCIDENT 265
5.2.1. Polika i procedure za upravljanje incidentom 265
5.2.2. Kategorije bezbednosnog kompjuterskog incidenta 265
5.2.3. Nagovetaji kompjuterskog incidenta 266
5.2.4. Upravljanje kompjuterskim incidentom 266
5.3. PLANIRAN:E VANREDNIH DKGAA:A U IKTS 269
5.4. REZIME 275
6. UPRAVLJANJE FIZIKO TEHNIKOM ZATITOM 281
6.1. UVKD 281
6.2. STANDARDI &IZIKE ZAaTITE 281
6.2.1. Standardi zike zate za raunarsku sobu i radne stanice 281
6.3. &IZIKA ZAaTITA I ZAaTITA KKRUEN:A IKTS 282
6.3.1. Rizici proboja zike zate i zate okruenja ikts 282
6.3.2. &izika zata IKTS i okruenja 282
6.3.3. Zata EM i opkih medija 284
6.3.4. Metodi unitavanja medija 286
6.3.5. Kriterijumi za izbor i implementaciju zike zate 287
6.3.6. Sistemi zate okruenja ikts 287
6.4. KKNVERGENCI:A &IZIKE I LKGIKE KKNTRKLE PRISTUPA 288
6.5. REZIME 290
7. UPRAVLJANJE PERSONALNOM ZATITOM 294
7.1. UVKD 294
7.2. PRKCES PKPUNE RADNIH MESTA U IKTS 294
7.2.1. Kdreivanje osetljivos radnog mesta 295
7.2.2. Popuna radnih mesta i izbor zaposlenih 295
7.2.3. Kbuka zaposlenih 296
7.3. UPRAVL:AN:E KKRISNIKIM NALKZIMA 296
7.3.1. Revizija prakse upravljanja korisnikim nalozima 297
7.3.2. Detekcija nelegalnih akvnos zaposlenih 298
7.3.3. Privremena zamena i interni transfer zaposlenih 298
7.3.4. Ukidanje naloga 298
7.3.5. Personalna zata spoljnih saradnika po ugovoru 299
XI
SJ
7.3.6. Personalna zata u ikts sa javnim pristupom 299
7.3.7. Uspostavljanje ma za zatu informacija 300
7.4. REZIME 301
7.6. PITAN:A ZA PKNAVL:AN:E. 301
8. UPRAVLJANJE OBUKOM I OBRAZOVANJEM U ZATITI 304
8.1. UVKD 304
8.2. RAZVK: SVESTI, KBUKA I KBRAZKVAN:E U ZAaTITI 304
8.2.1. Program za razvoj sves o potrebi zate 305
8.2.2. Program obuke u za 306
8.2.3. Kbrazovanje u za 306
8.2.4. Konnuitet procesa obrazovanja u za 307
8.2.5. Znanje i vene lanova ma za upravljanje zatom 308
8.3. UPRAVL:AN:E PRKGRAMKM KBUKE U ZAaTITI 309
8.4. PRKCES RAZVK:A PRKGRAMA KBUKE U ZAaTITI 311
8.5. REZIME 313
8.7. PITAN:A ZA PKNAVL:AN:A 314
9. SERTIFIKACIJA I AKREDITACIJA SISTEMA ZATITE 316
9.1. UVKD 316
9.2. KRGANIZACI:A PRKCESA SERTI&IKACI:E I AKREDITACI:E 316
9.2.1. Uloge i odgovornos 316
9.3. UPRAVL:AN:E PRKCESKM SERTI&IKACI:E I AKREDITACI:E 318
9.3.1. Serkaciona i akreditaciona dokumentacija 321
9.3.2. Tipovi i proces akreditacije 322
9.3.3. &aza postakreditacije 325
9.4. REZIME 326
9.7. LITERATURA 330
PRILOZI
PRILKG 1: ISK 27K STANDARDI KB:AVL:ENI ILI U TKKU IZRADE 337
PRILKG 2: RELEVANTNI STANDARDI ZAaTITE 338
PRILKG 3: PRIMER BEZBEDNKSNE KATEGKRIZACI:E KB:EKATA VELIKKG IKTS 343
PRILKG 4: METKD PKKRIVAN:A PRETN:I KKNTRKLAMA ZAaTITE 345
PRILKG 5: KRATKA ISTKRI:A MALICIKZNIH PRKGRAMA 347
PRILKG 6: PRIMERI KKN&IGURACI:E LKGIKE BARI:ERE U RAUNARSKK: MREI 348
PRILKG 7: GRA&IKI MKDEL IMPLEMENTACI:E ISMS 350
PRILKG 8: TIPINI PARKVI RAN:IVKSTI/PRETN:A (T/V) 351
PRILKG 9: TIPKVI UKBIA:ENIH PRETN:I (ISK/IEC 27005) 355
PRILKG 10: PRIMERI KDREIVAN:A VERKVATNKDE I NEKDREENKSTI PRETN:I 360
PRILKG 11: METKDI PRKCENE UKUPNKG RIZIKA 365
PRILKG 12: KKNTRKLNA LISTA PRKCESA IMPLEMENTACI:E PKLITIKE I PRKCEDURA ZAaTITE 370
XII
KO O FOJ
SPISAK SLIKA
GLAVA I
Slika 1.1 Nivo ukupne bezbednos u funkciji komponen bezbednos
Slika 1.2 Nivo ukupne bezbednos IKTS u funkciji pretnji
Slika 1.3 Generiki model sistema zate i meusobni odnosi komponen
Slika 1.4 Kpmalni sistem zate informacija
Slika 2.1 Kp model standarda zate informacija [61]
Slika 2.2 Krganizaciona ema Tehnikog komiteta ISK/IEC :TC 1SC 27
Slika 2.3 Klasikacija standarda zate
Slika 2.4 Klasikacija dokumentacije zate
Slika 3.1 Strategija bezbednos IKTS u funkciji sistema zate
Slika 3.2 Izlaz modelovanja sistema osnovne zate IKTS
Slika 4.1 &unkcionalni model sistema reakvne zate
Slika 4.2 Vremenski prozori proakvnih i reakvnih sistema zate [53]
Slika 4.3 Procenat otkrivanja ranjivos IKTS u periodu 19982005 [53]
Slika 4.4 Zona (a) i proireni vremenski prozor proakvne zate- (b) [53]
Slika 5.1 Meuzavisnost bezbednosnih ciljeva
Slika 5.2 Kp model servisa zate
Slika 5.3 Primarni servisi za zatu raspoloivos
Slika 5.4 Primarni servisi za zatu integriteta
Slika 5.5 Primarni servisi za zatu poverljivos
Slika 5.6 Distribuirani servisi zate
Slika 5.7 DMZ sa jednom barijerom (a) i dve barijere (b) [85]
Slika 6.1 Struktura (a) i proces programa (b) metrikog sistema zate informacija
Slika 6.2 Sazrevanje tehnologija zate
Slika 6.3 Uloge kojima se najee prezentuju metrike zate u organizaciji
Slika 6.4 Primeri metoda za prezentovanje metrike zate informacija
Slika 7.1 Generika taksonomija napada
Slika 7.2 Generiki tok napada na raunarske mree i sisteme
Slika 7.3 Kljuni povi incidenata izraeni u procenma (2008) [96]
Slika 7.4 Zastupljenost malicioznih napada u 2009 godini [96]
Slika 7.5 Prikaz neinciranog i inciranog boot sektora
Slika 7.6 Dopisivanje ispred izvrne datoteke
Slika 7.7 Dopisivanje na kraju izvrne datoteke
Slika 7.8 Generika struktura crva
Slika 7.9 Najee koriene tehnike samozate malicioznih programa [111]
Slika 7.10 Drave koje hostuju najvie zlonamernih programa [116]
Slika 7.11 Razvoj malicioznih programa (malvera) u periodu 2003-2010.
Slika 7.12 Drave iz kojih se alje najvie spam poruka [116]
Slika 7.13 Pad koliine SPAM poruka tokom 11.10.2008. godine [116]
Slika 7.14 Pregled efekvnos anvirusnih programa u 2009 godini [32]
XIII
SJ
Slika 8.1 Klasikacija alata za zatu
Slika 8.2 Apstraktni bezbednosni slojevi RS
Slika 8.3 Generiki servis logike kontrole pristupa
Slika 8.4 Mehanizmi logike kontrole pristupa [62]
Slika 8.5 &aze procesa upravljanja ranjivosma
Slika 8.6 Primena skenera ranjivos u IKTS srednje veliine
Slika 8.7 IDPS koncept
Slika 8.8 Komunikacija sa ifrovanjem podataka
Slika 8.9 Sadraj standardnog ITU X.500 DS-3-0
Slika 8.10 Zavisnost mehanizama zate od vrednos imovine i izloenos
Slika 9.1 Tok procesa ltriranja paketa
Slika 9.2 Principi rada lterskih i aplikavnih barijera
Slika 9.3 Zata perimetra raunarske mree sa dve barijere [19]
Slika 9.4 Konguracija aplikavnog proksija [19]
Slika 9.5 Lokacija SSL protokola u vieslojnoj arhitekturi RM
Slika 9.6 &unkcionalni model RADIUS protokola
Slika 9.7 Upotreba kriptokarce sa eksternim itaem karca
Slika 9.8 Tipian skener za procenu ranjivos RS (a) i implementacija u RM (b) [109]
Slika 9.9 Rezultat pingovanja mrenih ureaja u Nmap alatu (PingSweep)
Slika 9.10 Skeneri ranjivos raunarskih mrea
Slika 9.11 Rezulta analize ranjivos (a) i povi izvetaja (b) u Rena alatu
Slika 9.12 Glavne ranjivos RM (2006) [60]
Slika 9.13 Linearna aproksimacija rasta ranjivos od 20002006 [60]]
Slika 9.14 Mogunos primene NIDPS sistema u RM [87]
Slika 9.15 Upravljanje NIDPS sistemima: centralizovano (a) i distribuirano (b) [87]
Slika 9.16 Kljuni moduli PKI sistema
Slika 9.17 Model globalne arhitekture PKI sistema
Slika 9.18 Struktura paketa podataka za prenos putem Ethernet mrea: IP (a) i IPSec (b)
Slika 9.19 Struktura IPSec paketa podataka uz koritenje AH potprotokola u Ethernet mrei
Slika 9.20 Struktura IPSec paketa uz koritenje ESP potprotokola u Ethernet mreama
Slika 9.21 &unkcionalni model WEP protokola
Slika 9.22 Princip rada 802.11i u eri faze
GLAVA II
Slika 1.1 Generiki proces ISMS (a) i usaglaenos sa BS (b)
Slika 1.2 PDCA (Plan, Do, Check Act) model
Slika 1.3 Primena PDCA modela na ISMS prema ISK/IEC 27001
Slika 1.4 Skala sazrevanja procesa upravljanja
Slika 2.1 Model (a) i hijerarhijski pristup upravljanju (b) stratekim rizikom
Slika 2.2 Generiki okvir (a) i ciklus (b) upravljanja rizikom
Slika 2.3 Generiki model za analizu i procenu rizika [67]
XIV
KO O FOJ
Slika 2.4 Tok procesa UR od namernog, nemalicioznog eksternog napada
Slika 2.5 Dijagram odnosa ucajverovatnoa neuspeha napada
Slika 2.6 &unkcionalni model procesa procene rizika
Slika 2.7 Implemenrane kontrole zate i preostali rizikRrp
Slika 3.1 Generiki proces razvoja plana zate
Slika 3.2 &unkcionalni model za razvoj polike zate
Slika 3.3 Ciklus procesa odravanja polike zate
Slika 3.4 Klasikacija dokumenata zate
Slika 3.5 Sazrevanje procesa upravljakog okvira zate
Slika 5.1 ivotni ciklus (a) procesa upravljanja bezbednosnim incidentom (b)
Slika 5.2 Dijagram trokova bekapovanja i vremena oporavka u funkciji rezervne lokacije
Slika 6.1 Tok procesa saniranja i odlaganja dokumenata i medija
Slika 6.2 Model odnosa logike i zike kontrole pristupa [35]
Slika 7.1 Proces popune zaposlenih u IKT sistemu
Slika 8.1 Model konnuiteta procesa uenja i osposobljavanja u za
Slika 8.2 Centralizovano (a) i delimino decentralizovano (b) upravljanje programom
obuke
Slika 8.3 Decentralizovano upravljanje programom obuke u za
Slika 8.4 Evaluacija i tehnike povratne sprege za kontrolu programa
Slika 9.1 &aze i akvnos procesa serkacije i akreditacije [1]
Slika 9.2 Plan serkacije sistema zate [1]
Slika 9.3 Akreditacija sistema (a) i pska akreditacija (b) [1]
Slika 9.4 Lokacijska akreditacija [1]
SPISAK TABELA
GLAVA I
Tabela 1.1 Klasikacija informacione imovine
Tabela 1.2 Relevantni aspek zate IKTS
Tabela 1.2 &aze implementacije sistema zate
Tabela 2.1 Kp GAISP principi zate
Tabela 2.2 Relevantna meunarodna tela za standardizaciju u oblas zate
Tabela 2.3 Primeri dokumentacije zate
Tabela 3.1 Kljuni koncep za razvoj sistema zate
Tabela 4.1 Klase, familije i idenkatori kontrola zate
Tabela 4.2 Dimenzije kontrola zate
Tabela 4.3 Primer matrice praenja zahteva za zatom
Tabela 4.4 Metodi za procenu efekvnos kontrola zate za razliite nivoe ucaja
Tabela 6.1 Pristup za izbor metrike odozgo nadole
Tabela 6.2 Pristup za izbor metrike odozdo nagore
XV
SJ
Tabela 6.3 Karakteriske metrika zate informacija
Tabela 6.4 Primeri metrika zate prema kategorijama
Tabela 6.5 Najee koriene metrike zate informacija
Tabela 6.6 Istraivanja primene metrika zate informacija u praksi
Tabela 7.1 Zbirne karakteriske atributa namernih napada
Tabela 7.2 Pomeranje vektora napada sa Interneta
Tabela 7.3 Uporedne karakteriske nekih malicioznih programa
Tabela 8.1 Staska korisnike upotrebe lozinke
Tabela 8.2 Primer prorauna prozora poznah ranjivos
Tabela 8.3 Kriterijumi procene vrednos kriptolokog algoritma
Tabela 8.4 Vrednovanje kriptolokih algoritama za mehanizme zate
Tabela 9.1 Mreni protokoli sa poznam ranjivosma
Tabela 9.2 Kriptografski algoritmi za komunikaciju SSL protokolom
Tabela 9.3 Autenikacioni i autorizacioni protokoli
Tabela 9.4 Zbirne prednos instalacija NIDS na razliim lokacijama u RM
Tabela 9.5 &unkcionalnos CA i RA
Tabela 9.6 Servisi i mehanizmi mrene zate
Tabela 9.7 Standardni povi beinih mrea
Tabela 9.8 Ksnovne karakteriske protokola zate WLAN sistema
Tabela 9.9 Uporedne vrednos funkcija protokola zate WLAN sistema
GLAVA II
Tabela 1.1 Glavni principi upravljanja rizikom
Tabela 2.1 Primer intuivne procene atributa A,V,T i relavnog rizika (Rr)
Tabela 2.2 Kriterijumi za odreivanje teinskih faktora vrednos A
Tabela 2.3 Primer procene relevantnih faktora ranjivos (V)
Tabela 2.4 Primeri pova kombinovanih pretnji
Tabela 2.5 Proraun teinskih faktora za verovatnou pojave incidenta
Tabela 2.6 Kriterijumi za ponderisanje intenziteta potencijalnih pretnji
Tabela 2.7 Kriterijumi za odreivanje teinskih faktora frekvencije incidenta
Tabela 2.8 Komponente za odreivanje teinskih faktora ucaja rizika
Tabela 3.1 Glavni principi za razvoj polike zate
Tabela 3.2 Bezbednosne kategroije upravljakog okvira sistema zate
Tabela 3.3 Kapacite procesa upravljakog okvira po nivoima zrelos
Tabela 4.1 Ciljevi i metrike kontrole i revizije sistema zate
Tabela 6.1 Standard stepena saniranja kljunih kategorija medija
Tabela 7.1 Ksnovna podela zadataka u mu za upravljanje zatom informacija
Tabela 7.2 Proirene uloge u mu za zatu u praksi zate
Tabela 8.1 Komparacija parametara sves o potrebi, obuke i obrazovanja u za
Tabela 8.2 Znanja i vene lanova ma za zatu informacija
Tabela 9.1 Tehnike verikacije za nivoe bezbednosne serkaciju
XVII
UO
Produkvnost savremenih poslovnih sistema u najveoj meri zavisi od brzine do-
noenja odluka i kvaliteta upravljanja. Kdluivanje, a me i kvalitet upravljanja u po-
tpunos zavise od kvaliteta informacija, koje procesiraju, skladite i prenose raunarski
sistemi (RS) i raunarske mree (RM). U ovom udbeniku umesto uobiajenih skraenica
IS (Informacioni sistem) ili IT (informacione tehnologije) korise se termin sistem infor-
maciono komunikacionih tehnologija (IKTS), koji generiki ukljuuje sve atribute i aspekte
bezbednos i zate: sistemski pristup, informacione objekte (informacije, podatke, pro-
grame), tehnologije (mrene, informacione, komunikacione, zate) i ljude. Takoe, te-
rmin zata informacija implicira zatu IKTS u celini, pa se ova dva termina u udbeniku
koriste ravnopravno.
U skladu sa objektno - orijensanim pristupom, od brojnih atributa informacija,
kvalitet informacija u potpunos zavisi od skupa relavno nezavisnih atributa: poverljivo-
s da informacije nisu otkrivene neovlaenim korisnicima; integriteta da informacije
nisu neovlaeno izmenjene i raspoloivos da su informacije dostupne legimnim ko-
risnicima kada je to potrebno. Kvalitet procesiranih, skladitenih i prenoenih informacija
u savremenim visoko distribuiranim i umreenim IKTS Internet pa, zavisi od funkciona-
lne pouzdanos i bezbednos sistema i njegovog okruenja, odnosno, od implemen-
ranog sistema zate. Na taj nain, pored kvaliteta hardvera i sovera, bezbednost IKTS
postaje trei gradivni blok sistema kvaliteta poslovnih IKTS i poslovnih sistema u celini.
UVOD
XVIII
KO FOJ
Udbenik Osnove zate informacija, namenjen je studenma osnovnih studija, ali i
korisnicima i menaderima koji prvi put ulaze u problemaku zate informacija. Mogu
ga koris i profesionalci u za koji ele sistemazova i upotpuni svoja zna-nja iz
ove iroke, muldisciplinarne oblas.
Glavni cilj pisanja ovog udbenika je da se raznovrsna i obimna teorija, dostupna u
brojnoj stranoj literaturi, strunim asopisima, preporukama, uputstvima, standardima
i autorskim radovima na Internetu, sistemazuje, terminoloki ujednai i denie i to
vie priblii korisnicima i menaderima, koji po pravilu ne moraju bi tehniki obrazo-
vani. Smanjenje kompleksnos terminologije zate jedan je od stratekih ciljeva teorije
i prakse zate. Time se pose vea razumljivost i korisnika prihvatljivost zate.
Metodoloki, udbenik je koncipiran u dve glave: Metodoloko tehnoloke osnove
zate IKTS i Upravljanje zatom IKTS, sa ukupno osamnaest poglavlja. Svako pogla-
vlje je koncipirano modularno sa uvodom, razradom razmatranog problema zate,
rezimeom (kratkim sadrajem), kljunim terminima i pitanjima za ponavljanje. Spisak
koriene i ire literature dat je na kraju svake glave.
Sa metodolokog aspekta, za obradu celokupne problemake zate u zadatom okviru
udbenika korieni su i razmatrani sledei kljuni koncep:
1. koncept terminologije zate, kao jedan od glavnih ciljeva udbenika, primenjen
je u svakom poglavlju sa posebnim denisanjem kljunih termina na kraju pogla-
vlja;
2. koncept stratekog (dugoronog) i takkog (kratkoronog) reavanja problema
bezbednos i zate IKTS (planiranja i razvoja programa, plana i sistema zate);
3. koncept reakvnih, tradicionalnih sistema zate koji te informacije i objekte
IKTS od poznah pretnji i proakvnih sistema zate koji te informacije od po-
znah i nepoznah, promenljivih, kombinovanih pretnji;
4. koncept sistemskog i procesnog pristupa, kojim se deniu i idenkuju upravljaki,
operavno - organizacioni i tehniki procesi i kontrole zate. Sistemski i procesni
pristup za znaajan je i zato to obezbeuje osnovu za dalji rad u ovoj oblas
i omoguava projektanma IKTS i sistema zate da lake usklade razvoj ivotnih
ciklusa IKTS i sistema zate sa bolje denisanim procesima i metodima, to u
praksi najee nije sluaj (sistem zate se uglavnom implemenra pri kraju ili
posle razvoja ivotnog ciklusa IKTS);
5. koncept objektno orijensanog modelovanja (KKM) IKTS kao objekta zate i
sistema zate kao sredstava za zatu, primenjen je u udbeniku u cilju smanje-
nja kompleksnos IKTS i sistema zate. Kpisana je primena KKM u oblas zate
i idenkovane su dve kljune grane objekata: grana objekata zate poverlji-
vost, integritet i raspoloivost informacija i grana sredstava za zatu (objekata
za zatu) upravljake, operavne i tehnike kontrole zate. Razmatrane su
XIX
UO
primene i ostalih atributa KKM na oblast zate: klase, objek, komponente obje-
kta, kontejner, inkapsulacija, polimorzam, nasleivanje i dekompozicija. Prime-
na koncepta KKM na oblast zate ima viestruki znaaj, a posebno treba istai
da se problemaka zate na elegantan nain dovodi u fokus vlasnika i projekta-
nata IKTS, koji sada mogu istom metodologijom blagovremeno uskladi razvoje
ivotnih ciklusa IKTS i sistema zate. Na kraju su razmatrani neki koncep nove
paradigme zate sevisno orijensanih web aplikacija SKA (Service Oriented
Applicaon) i distribuiranog Internet raunarstva (Cloud Compung).
U Glavi I denisani su i opisani u devet poglavlja: bezbednost, zata, sistem zate
i opmalna zata; opte prihvaeni principi (GAISP, KECD, NIST), relevantni standardi
(ISK/IEC 27001/2/5; ISK/IEC 21827 ili SSE CMM System Security Engeneering Capa-
bility Maturity Model i dr.) i normavi zate; metodologije i modeli sistema zate;
koncep kontrola i sistema reakvne i proakvne zate; op model servisa zate;
metriki sistemi zate informacija; taksonomije pretnji i malicioznih programa; teh-
nologije za zatu raunarskih sistema i tehnologije za zatu raunarskih mrea.
U Glavi II: Upravljanje zatom informacionih sistema, u devet poglavlja detaljnije
su razmatrane upravljake i operavne komponente zate. Naime, u upravljakim i
operavnim kontrolama zate ljudski faktor je nezamenljiv i odluujui, a dobra praksa
zate potvrdila je da se najbolji rezulta u za posu, ako se ove kontrole kombinu-
ju i razvijaju i implemenraju jedinstveno. U teoriji i praksi zate proces upravljanja
sistemom zate generalno je najslabije razvijen proces zate. U tom smislu, posebno
su razmatrani procesi: upravljanja sistemom zate; upravljanja bezbednosnim i opera-
vnim rizikom IKTS; upravljanje programom zate; nadzor, kontrola i revizija sistema
zate; upravljanje kompjuterskim incidentom i vanrednim dogaajem; upravljanje
zikotehnikom i personalnom zatom; upravljanje obukom i obrazovanjem u za
i evaluacijom kvaliteta sistema zate (serkacijom i akreditacijom).
Glava I
BEZBEDNOST
INFORMACIONIH SISTEMA
3
BO FOO
1.
BEZBEDNOST I ZATITA INFORMACIJA
1.1. UVOD
Termini: bezbednost informacija ili informaciona bezbednost, primarno podrazume-
vaju bezbednost informacija i podataka u IKTS, a sekundarno - bezbednost objekata
raunarskog sistema (RS) i raunarske mree (RM), ime se posredno te informacije.
Kvakav pristup implicira da je krajnji cilj bezbednos i zate zata informacija i po-
dataka, koja se direktno ili posredno pose zatom informacione imovine
1
. U stra-
noj literaturi se koriste razlii termini (eng. informaon security; rus.
; nem. Informaonssicherheit), a u ovom udbeniku se ravnopravno ko-
riste termini bezbednost informacija i informaciona bezbednost, koji uvek impliciraju
bezbednost informacione imovine u celini. Kljuni termini korieni u ovom udbeniku
denisani su na kraju svakog poglavlja, sa namerom da se kompleksnost terminologi-
je zate informacija to vie smanji i priblii krajnjim korisnicima, a me poveaju
korisnika prihvatljivost i svest o potrebi zate.
Bezbednost informacija od dinamiki promenljivih, kombinovanih pretnji, u nebe-
zbednom Internet okruenju, obezbeuje sistem zate. Da bi se denisao rentabilan
sistem zate, opisani su strukturni i objektno orijensani modeli. Glavni cilj je usmeri
panju na upravljanje rizikom i izbor kontrola zate za ublaavanje rizika. Kako je prol
rizika specian za svaku organizaciju, primena standarda najbolje prakse zate infor-
macija ne daje uvek najbolje rezultate, poto standard ne uzima u obzir specine pro-
le rizika organizacija. Dakle, opmalni sistem zate informacija znai rentabilan i ade-
kvatan sistem zate za dato poslovno okruenje, prol rizika i ukupne trokove zate.
1
1
informaciona imovina u ISK/IEC 27001 obuhvata informacije, hardver, sover i ljude.
4
KO FOJ
1.2. BEZBEDNOST INFORMACIJA
1.2.1. Definicije pojmova bezbednost i sigurnost inormacija
U praksi zate postoje brojne denicije bezbednos informacija, zavisno od nivoa
apstrakcije. Na nivou drave to je stanje zaenos nacionalnih interesa u informa-
cionoj sferi, odreenih skupom linih, poslovnih i dravnih interesa. Kako se bezbednost
informacija obezbeuje zatom, moe se denisa i kao zaenost informacija od
sluajnih ili namernih akvnos prirodnog ili vetakog karaktera, koje mogu nane ne-
prihvatljivu tetu informacionoj imovini organizacije [21, 74, 61].
Bezbednost IKTS je objekvna mera stanja rizika ili stanja bezbednog, pouzdanog i
neometanog funkcionisanja sistema, u odnosu na samog sebe i svoje okruenje. Sistem
se smatra bezbednim, ako je zaen od ucaja faktora rizika. Sigurnost je sinonim bez-
bednos, a semanki predstavlja subjekvnu meru poverenja ili oseaja sigurnos da
je sistem bezbedan. Bezbednost sistema zate semanki najblie odgovara znaenju
engleskog termina Security Assurance (garantovana bezbednost).
Kba termina bezbednost i poverenje, zasnivaju se na mehanizmu ljudske percepcije.
IKTS se smatra objekvno bezbednim, ako je do odreenog stepena pouzdano poznato
da zaista poseduje neka bezbednosno relevantna svojstva, koja nominalno poseduje, a
siguran je ili poverljiv, ako se do odreenog stepena veruje da ima neka bezbednosno
- relevantna svojstva koja nominalno poseduje. U oba sluaja termin do odreenog ste-
pena indicira relavnost denicija ovih pojmova.
U realnom okruenju, bezbednost IKTS je sloen fenomen sa socioloko - kulturolokim
i tehnolokim faktorima. Zato za ocenu nivoa bezbednosnog stanja IKTS treba ukljui
sve ove aspekte. U optem
sluaju, ukupna bezbed-
nost nekog sloenog siste-
ma obuhvata skup kom-
ponen bezbednos (B1,
B2...Bn) (Sl. 1.1).
Nivo ukupne bezbed-
nos sistema Bu raste
sa porastom nivoa bezbe-
dnos njenih relavno
nezavisnih bezbednosnih
komponen, iji se sku-
povi negde presecaju, ali
priblino adivno dopri-
nose porastu ukupne
bezbednos. U idealnom
Sl. 1.1. Nivo ukupne bezbednos u funkciji komponen
bezbednos
5
BO FOO
sluaju, da je bezbednost determiniska veliina, ova bi zavisnost bila linearna funkci-
ja. Meum, Bu je uvek nelinearna funkcija komponen bezbednos, zbog stohaske
prirode kombinovanih, dinamiki promenljivih pretnji i neodreenos faktora rizika, koji
uu na bezbednost [61].
Ukupna bezbednost sloenog sistema Bu, koja obuhvata sve komponente bezbed-
nos (B1,...Bn), moe se izrazi priblinom relacijom:
1
n
u j j
j
B k B
gde su:
j=1,2,...,n komponente bezbednos, a
k=1,2,...,k
n
teinski faktori ucaja pojedinanih komponen bezbednos, koji razliito do-
prinose porastu Bu.
Najvei ucaj na Bu, npr. drave, imaju najosetljivije komponente dravna, vojna,
ekonomska i informaciona bezbednost. Kako se razvija informako drutvo, u toj meri
raste znaaj informaciono - kiberneke bezbednos
2
, odnosno bezbednos info-
rmacija, koja proima sve aspekte bezbednos.
Uobiajeno se bezbednost raunarskih sistema (RS), mrea (RM) ili IKTS poistoveuje
sa bezbednou informacija, jer u savremenom informacionom drutvu informacija
postaje najvrednija imovina organizacije. Ksnovna razlika izmeu bezbednos info-
rmacija i bezbednos RS/RM/IKTS je u pristupu i metodologiji zate. U objektno orije-
nsanom pristupu, bezbednost informacija se odnosi na zatu poverljivos, integriteta
i raspoloivos CIA (Condenciality, Integrity, Avialability) informacija, bez obzira na
formu u kojoj se informacija nalazi, dok se bezbednost RS/RM/IKTS odnosi na zatu CIA
informacija koje se skladite, obrauju ili prenose u RS/RM [61].
Bezbednost informacija omoguava konnuitet poslovanja, smanjuje potencijalnu
tetu, obezbeuje povratak invescije i unapreuje ukupno poslovanje. U tom smis-
lu se bezbednost informacija moe denisa kao odsustvo rizika za CIA informacija
ili zaenost informacija od neovlaenog pristupa, upotrebe, otkrivanja, izmene ili
unitenja informacija [6].
U praksi se bezbednost informacija najee manifestuje u bezbednom radu bez otka-
za RS, RM i Interneta, malicioznih programa i prislukivanja; bezbednoj komunikaciji, ku-
povini i plaanju preko Interneta sa zatom privatnos. Dakle, bezbednost informacija je
ciklino ponovljiv proces stalnog odravanja zaenos informacija, kojeg je potrebno
planira, implemenra, izvrava, odrava i poboljava, kroz uspostavljen sistem
za upravljanja zatom informacija ISMS (Informaon Security Management System)
[50].
2 Engl.: Cyberspace Informaon Security.
6
KO FOJ
1.2.2. Funkcionalna zavisnost bezbednost pretnje
Bezbednost IKTS je stanje i konkretno - situacioni problem realnog okruenja, pa ne
postoji univerzalno i nepromenljivo stanje bezbednos IKTS. Agen potencijalnih pre-
tnji su izvrioci napada i uzroci nastanka faktora rizika. Rizik je procenjena mera ucaja
pretnje na informacionu imovinu i osnovna kategorija analize bezbednos IKTS, a moe
se denisa kao verovatnoa da e agent pretnje iskoris neku ranjivost sistema i iza-
zva negavne posledice za sistem i organizaciju u celini. Kako apsolutna bezbednos
prakno ne postoji
3
, upravljanje bezbednos IKTS najbolje se objanjava procesom up-
ravljanja rizikom. U realnim uslovima, sa porastom pretnji poveavaju se rizici, a nivo
ukupne bezbednos IKTS nelinearno opada, zbog stepena neodreenos ucaja fa-
ktora rizika (Sl. 1.2) [61].
Neka su B1, B2, ..., Bj,
...Bn bezbednosna stanja
komponen bezbed-
nos IKTS, procenjivana
u prostoru i vremenu.
&unkcija nelinearne zavis-
nos komponen bezbed-
nos Bj od sto-haski
promenljivih faktora rizika
Ri, moe se priblino iz-
razi relacijom:

n
j j j i
j 1
B k B 1 R

gde su: j=1,2,...,n komponente bezbednos,
k=1,2,,n teinski faktori ucaja pojedinanih komponen bezbednos, a
R
i
procenjeni faktori rizika pojedinanih komponen bezbednos,
i=1,2,...,n.
Denisanje bezbednosnog stanja IKTS, sa formalnim matemakim aparatom,
nije lak zadatak, jer zahteva formalni opis IKTS i sistema zate. Relacioni pristup sa
meusobnim odnosima relavno nezavisnih skupova ukazuje na teinu ovog problema.
Neka je ukupna bezbednost IKTS predstavljena skupom moguih bezbednosnih stanja
svih komponen sistema zate S, u kojem bezbednosna stanja pojedinanih bezbe-
dnosnih komponen IKTS s
i
zavise od vrste, intenziteta i verovatnoe napada i ucaja
iskorisvos ranjivos sistema sa kombinovanim, dinamiki promenljivim pretnjama, na
IKTS i poslovanje. Ako se uzme da okruenje IKTS unosi faktor neodreenos u metriku
3 ako nisu na raspolaganju neogranieni resursi za zatu, to je prakno neizvodljivo.
Sl. 1.2. Nivo ukupne bezbednos IKTS u funkciji pretnji
7
BO FOO
nivoa bezbednos IKTS i da je trenutno bezbednosno stanje okruenja sistema (Bso) = v,
elemenat skupa svih moguih stanja Bso = V, tada se V moe se denisa kao funkcija
tri varijable [21]:
( , , ) V f S A F
gde je:
S skup moguih bezbednosnih stanja svih komponen bezbednos sistema s
i,,
u kojem
je idenkovan i denisan rizik i implemenran neki skup upravljakih, operavnih i
tehnikih kontrola zate koje smanjuju faktore rizika na prihvatljiv nivo;
A skup svih raspoloivih i novih proceduralnih kontrola zate a
i
, koje pomeraju sistem
iz jednog u drugo (vie) bezbednosno stanje;
F skup svih tehnikih kontrola komponen sistema zate f
i
, koje su implemenrane u
specinim komponentama zate IKTS s
i
, na tekuem nivou bezbednosnog stanja
sa faktorom rizika na prihvatljivom nivou.
Zadatak specijaliste zate je da denie parove (f
i,,
V
j
), koji ine bezbednosno stanje
komponente zate IKTS (s
i
), prihvatljivim za organizaciju, to se moe izrazi relaci-
jom:
{ , }, 1, 2,...,
i i j
s f V j n
1.2.3. Glavni aktori uticaja na bezbednosno stanje IKTS
Na bezbednost IKTS uu brojni, manje oigledni faktori, od kojih su najznaajniji
funkcionalni zahtevi poslovnih sistema (npr. e-poslovanje, cloud compung-CC), orga-
nizaciona struktura (npr. promena prava pristupa, zbog promene posla), tehnoloki ra-
zvoj (npr. problem zate u CC okruenju), polika zate (npr. nedostatak upravljakog
okvira na bazi polike za reavanje tekuih problema zate), svest o potrebi zate
(npr. implementacija tehnologije zate bez procene rizika), kompleksnost i skalabil-
nost sistema (npr. kompleksnost IKTS oteava poszanje koherentnog sistema zate),
poverljivost i privatnost (npr. kompleksan problem prenosa poverenja u IKT okruenje)
i dr. [74, 85, 35, 59, 63].
Kvalitetne i integrisane informacije, potrebne za odluivanje, postaju najznaajniji
resurs svake organizacije i krini objekat zate. Izvrni menaderi rangiraju zatu in-
formacija sa 7,5 od 10, po znaaju za funkcionisanje IKTS [28]. Na kvalitet informacija
ue niz atributa (tanost, blagovremenost, aktuelnost, pouzdanost, integritet, objek-
vnost, tajnost, raspoloivost i dr.), koji pojedinano mogu bi od relavnog znaaja
za razliite poslovne sisteme. Sa porastom informazacije svih sfera ivota raste znaaj
kvalitetnih informacija, koje u objektno orijensanom pristupu obezbeuje bezbedan
IKTS. Zato se ukupan kvalitet poslovnih IKTS esto ilustruje trouglom stabilnos: hard-
ver, sover, bezbednost.
8
KO FOJ
injenica da je vrednost informacija funkcija vremena (informacija znaajna danas
ne mora bi znaajna i sutra), presudno ue na nain zate informacija. Na primer:
informacije, koje obezbeuju komparavnu prednost za dui vremenski period, treba
jakim mehanizmima zate (npr. kriptolokim). Ktuda i potreba za razvoj realnih
metoda za procenu rizika, kompabilnih sa vremenskim okvirima i dinamikom savre-
menog e-poslovanja.
Zbog esh organizacionih promena, pod ucajem brojnih ekonomskih i tehnolokih
faktora, osnovni problem je kako obezbedi specijaliste zate sa potrebnim znanjima
i venama i izvrne menadere, koji najbolje poznaju poslovne procese, idenkuju
faktore rizika, odreuju prava pristupa, upravljaju sistemom zate itd.
Tehnoloki razvoj pomera teite sa automazacije poslovanja na integraciju sistema
i integrisano upravljanje kompleksnim upravljakim i inenjerskim procesima, to ote-
ava administraciju zate IKTS, koju je vrlo teko ili nemogue potpuno automazova
i integrisa. Zato intervencija oveka u sistemu bezbednos informacija, ostaje neza-
menljiv i krian faktor.
Kompleksnost savremenih, heterogenih, visoko distribuiranih IKTS, glavni je problem
za planiranje arhitekture sistema zate, zbog tekoa idenkovanja i korekcije ranji-
vos. Razvojem veb servisa i aplikacija
4
, IKT i Internet umreavanja, generisani su sasvim
novi povi pretnji, koje zahtevaju razvoj novih modela, procesa i kontrola zate.
U veini organizacija procesi zate su nedovoljno razvijeni i stabilni i aksioma-
tski zavise od predenisane polike zate i procene izloenos faktorima rizika na
bazi stakog okvira ISMS standarda
5
za upravljanje zatom, operavnih uputstava
i tehnikih kontrola zate. Relevantni standardi zate idenkuju sva ogranienja
sistema zate, projektovanog na bazi predenisane polike zate i sugerie regularnu
procenu rizika [48, 49, 50, 84]. Kvaj pristup podrazumeva da se procena rizika uzima
kao primarni alat za donoenje odluka, to ne znai da upravljaki okvir na bazi polike
zate nije vaan. Naprov, treba ga redovno koris, ali samo ee kontrolisa njego-
vu relevantnost u realnom kontekstu i na bazi procene rizika.
Vei problem je nedostatak sves menadera o potrebi procene rizika, koji ee im-
plemenraju tehnologije zate bez procene rizika, kao i krajnjih korisnika koji nedovo-
ljno shvataju potrebu kontrole i posledice ucaja rizika na dnevne akvnos. &orsiranje
primene tehnikih reenja zate, moe stvori iluzija da se rizik uspeno kontrolie i
da bezbednost zavisi od primene sve novijih i novijih alata. Iako u za IKTS domini-
raju tehnoloka pitanja, treba izbegava projektovanje arhitekture sistema zate samo
na bazi tehnologije i standarda najbolje prakse zate. Racionalan pristup obezbeuje
samo razumevanje realnog rizika i njegovog relavnog znaaja za organizaciju.
Na praksu zate IKTS, glavni ucaj imaju: kompleksnost, skalabilnost, poverljivost
i privatnost. Kompleksnost zahteva duboko razumevanje principa funkcionisanja IKTS,
da bi se implemenrao koherentan sistem zate. Zahtev za skalabilnost (nadogradi-
4 SKA, mreno raunarstvo (Greed Compung), distribuirano Internet raunarstvo (Cloud Compung)
5 Standard ISK/IEC 27001
9
BO FOO
vost) raste uporedo sa porastom kompleksnos, distribuiranos i umreavanja IKTS, to
automatski zahteva analizu modularnos i mogunos integracije. Poverljivost i priva-
tnost su dva kljuna pitanja koja dramano rastu sa poveavanjem broja umreenih ap-
likacija i primene IKTS, servisa i aplikacija. Modeli autenkacije (verikacije identeta)
postali su tehniki najkompleksnija oblast zate savremenih IKTS u Internet okruenju,
poto su jedini mehanizmi koji mogu rei istovremeno probleme uzajamnog poverenja
i zate privatnos korisnika. Zahtevi za zatom privatnos i poverljivos linih po-
dataka rastu uporedo sa lakoom sa kojom se elektronske informacije mogu skladi,
prenosi, menja i distribuira. U veini zemalja u svetu done su zakoni za zatu
privatnos linih podataka u elektronskom okruenju, dok se pristup ovom problemu
bitno razlikuje od zemlje do zemlje [75, 76, 77]. U sekciji Osam izvetaja privremenog
komiteta evropskog parlamenta navodi se da: Svaki akt koji ukljuuje intercepciju
komunikacija i ak snimanje podataka od strane obavetajnih slubi za obavetajne
namene, predstavlja ozbiljno krenje line privatnos. Meum, porast terorizma u
svetu i kompjuterskog kriminala nameu potrebu da se izbalansiraju prava zate privat-
nos i potrebe drava da imaju pristup svim informacijama i podacima.
Generalno, bezbednost realnog IKTS zavisi od sledea eri faktora: ta sistem treba
da radi (specikacija/polika), kako to radi (implementacija/mehanizmi zate), da li
stvarno to radi (tanost/garantovana bezbednost) i moe li sistem preive sofoscirane
napadae (ljudska priroda)
6
.
Na primer, krajem 2010. godine dnevno se na Internetu generisalo oko 40.000 no-
vih, sosciranih pova pretnji, od koji preko 40% promeni svoju deniciju u prva 24
asa
7
. Kdravanje stanja bezbednos IKTS, u nebezbednom okruenju, treba da bude
stabilan proces. U praksi to se stanje bezbednos odrava na prihvatljivom nivou rizika
sa implemenranim upravljakim (U), organizacionim (O) i tehnikim (T) kontrolama
zate [100].
1.3. OPTA DEFINICIJA SISTEMA ZATITE
Zahtevana bezbednost informacija i IKTS ostvaruje se (pod)sistemom zate. U obje-
ktno - orijensanom pristupu, sistem zate je organizovan i koherentan skup U, O i
T kontrola zate i njihovih veza i ogranienja, primenjenih na IKTS, da bi se zala
raspoloivost, poverljivost i integritet (ukljuujui neporecivost i autenkaciju), pro-
cesiranih, uskladitenih i prenoenih podataka i informacija i odrao ili poveao nivo
bezbednos i pouzdanos funkcionisanja IKTS u izvravanju poslovnih ciljeva i misije
organizacije. Kva denicija nedvosmisleno implicira da sistem zate IKTS nije sam sebi
cilj, nego da je u funkciji pouzdanog funkcionisanja IKTS u izvravanju poslovnih ciljeva
i misije organizacije.
6 Stamp, M., Informaon Security: Principles and Pracce, :ohnWiley & Sons, Inc. 2006.
7 The Help Net Security News, 17. novembar 2010.
10
KO FOJ
Za analizu i razvoj sistema zate najbolje rezultate daju metodologija sistem
inenjerske analize, objektno - orijensano modelovanje (KKM) i procesni pristup, ija
je glavna prednost smanjivanje kompleksnos [21]. Prva faza razvoja sistema zate je
denisanje modela IKTS i odreivanje objekata koje treba , na bazi procene rizika.
Racionalno je razvija sistem zate za ivotni ciklus IKTS.
U pristupu za informacija, glavni cilj je fokusira panju na procenu rizika i izbor
kontrola zate za ublaavanje tog rizika na prihvatljiv nivo. Kako je prol rizika specian
za svaku organizaciju, primena standarda najbolje prakse zate
8
nije uvek adekvatna,
poto ne uzimaju u obzir razliite prole rizika. Drugim reima, opmalni sistem zate
informacija ne znai obavezno najvii nivo zate, kojeg podrazumeva standard najbolje
prakse zate, nego rentabilan, ekonomski i funkcionalno opravdan sistem zate za
dato poslovno okruenje, prol rizika i ukupne trokove zate. Kako je IKTS bezbedan,
ako je adekvatno zaen, bezbednost IKTS B
IS
je bezbednosna funkcija sistema zate
Sz, tj:
( )
IS z
B f S
Bezbednost IKTS se dovoljno dobro moe denisa i skupom atributa vektora zate,
gde je: intenzitet zate (duina vektora)Isz, kvalitet zate (pravac vektora) Ksz i
sveobuhvatnost (vieslojnost i raznovrsnost) kontrola zate (smer vektora zate)
Ssz, pa je:
B
IS
= f(S
z
) = f(I
sz
U K
sz
U S
sz
)
Atribu vektora zate su u konjukvnoj vezi, pa sledi da e IKTS bi bolje zaen,
ako je vea unija atributa, odnosno to je sistem zate koherentniji.
1.3.1. Osnovne unkcionalnosti sistema zatite
Ksnovne funkcionalnos sistema zate izvravaju se kroz servise, mehanizme, ko-
ntrole i funkcije zate ili bezbednosne funkcije. &unkcije zate se izvravaju mehani-
zmima i protokolima zate, koji u logikom smislu predstavljaju nain realizacije servisa
zate [63, 74, 83].
Servisi zate su logike aplikacione jedinice, koje se izvravaju kroz razliite akcije,
kao to su metodi za implementaciju operacija kontrola zate, funkcionisanje ili trans-
formisanje bezbednosnih funkcija, implementacija skupa polika zate, rukovanje me-
hanizmima zate, auriranje, dodavanje, modikacija sa novim reenjima zate itd.
Servis zate je proces ili neprekidna, ponovljiva akvnost, izvrena funkcijama meha-
nizama i protokola zate. Korisnike ne zanima kako su servisi zate implemenrani,
ve da li mogu da izvre eljenu akciju. Na primer: zata tajnos informacija u komu-
nikacionom kanalu je servis zate u IKTS, a algoritamska kriptografska transformacija
sadraja informacija je mehanizam za realizaciju tog servisa zate.
8 NIST SP 53 A, B, C; IS& v.4.0; ISK/IEC 27000 serija, ISK/IEC 21827 (SSE CMM) itd.
11
BO FOO
Mehanizmi i protokoli zate su individualni algoritmi, hardversko-soverski moduli
ili metodi za izvravanje bezbednosnih funkcija. Neki mehanizmi zate su za jedan, a
neki za vie razliih servisa (npr. kriptografski mehanizmi). Za realizaciju mehanizma
zate, potrebno je obezbedi odreene kontrolne strukture, koje mogu bi upravljake,
operavne i tehnike, a uobiajeno se nazivaju kontrole zate.
Kontrola zate IKTS je konana klasikacija mehanizama zate i interfejs izmeu
mehanizma i oveka. Kontrola zate moe bi tehnika povratna sprega (npr. alarmni
signal generisan na izlazu IDPS), bezbednosna funkcija arhitekture sistema zate, orga-
nizaciono-operavna mera (npr. barijere za ziki pristup) i upravljakoadministravna
mera (npr. primenjen standard). Termin kontrola zate, takoe, implicira sunsku
potrebu neprekidnog nadzora i kontrolisanja sistema zate i uspeno zamenjuje tradi-
cionalne termine: administravnih, organizacionih i hardversko soverskih mera i me-
toda zate [33].
1.3.2. Inormacioni sistem kao objekat zatite
Ksnovno strukturno obeleje savremenih IKTS je teritorijalna distribucija RM u in-
tenzivnoj komunikaciji sa RS, kao osnovnom tehnikom komponentom. Smanjenje ko-
mpleksnos pose se uvoenjem grana objekata [21, 61]:
informacione imovine: poverljivost (C), integritet (I) i raspoloivost (A) ili CIA
9
,
ime se struktuiraju objek koje treba , tj. bezbednosni ciljevi i
mera i sredstava zate: proceduralne (U, K) i tehnike (T) kontrole zate, ime
se struktuiraju ala za zatu.
U objektno orijensanom pristupu zata informacija podrazumeva zatu informa-
cione imovine: iste, zike i humane (tabela T.1.1) [50, 51].
Tabela 1.1 Klasikacija informacione imovine
ista informaciona imovina
Digitalni podaci
i informacije
personalne, nansijske, zakonske, istraivanje i razvoj, strateke i komercijalne,
e-pote, voice-mail, baze podataka, lini i deljeni folder, backup mediji trake/CD/
DVD i digitalna arhiva, ifarski kljuevi, lozinke
Kpipljiva
informaciona
imovina
personalna, nansijska, zakonska, istraivanje i razvoj, strateke i komercijalne,
potanske poiljke, faksovi, mikro i drugi bekap/arhivni materijali, kljuevi skladita
medija, urnala, magacina, knjiga
Neopipljiva inf.
imovina
znanje, poslovni odnosi, trgovake tajne, licence, paten, iskustva, brend, reputacija,
poverenje, konkurentnost, eka, produkvnost
Aplikavni
program
razvijeni u korporaciji/kastomizovani sistemi, klijentski program (ukljuujui deljene i
za krajnje korisnike), komercijalno raspoloivi sover, ERP sistemi, MIS (managament
IS), baze podataka, usluni programi/ala, aplikacije za e-poslovanje, midleware
Sistemski
program
za servere, desktop raunare, mainframe raunare, mrene ureaje, prirune i
ugraene raunare (ukljuujui bios rom i druge rmware
9 Engl.: CIA Condenality, Integrity and Availability (poverljivost, integritet i raspoloivost)
(nastavak na sledeoj strani)
12
KO FOJ
Fizika informaciona imovina
Infrastruktura
za podrku IKTS
zgrada u kojoj su smeteni: IKTS, centar za obradu podataka, serverske/raunarske sobe,
kancelarije, kabina za umreavanje LAN mree, kabine za dranje fascikli dokumenata,
sobe i sefovi za uvanje EM i opkih diskova, ureaji za idenkaciju i autenkaciju
medija/ kontrolu pristupa (karni sistemi za pristup, tokeni, smart karce itd.) i drugi
ureaji za tehniku zatu (CCTV, provprovalni sistemi itd.)
Kontrole
okruenja IKTS
provpoarni alarmi/sistemi za gaenje poara/provpoarni apara, jedinice za
neprekidno napajanje (UPSS), mreno napajanje, mreni transformatori/lteri/atenu-
atori, klima ureaji/venlacioni sistemi za provetravanje, alarmni sistemi za poplavu
Hardver IKTS
ureaji za raunanje i skladitenje (desktop PC, radne stanice, laptop, priruni raunari,
serveri, mainframes, modemi i linijski terminatori, komunikacioni ureaji, (mreni
vorovi), printeri/kopir/fax maine itd.
Imovina IKTS
autenkacioni servisi i administravni procesi za upravljanje prolom korisnika, hip-
erlinkovi (brauzeri), rewalls, proxy serveri, mreni servisi, beini servisi, anspam/
virus/spyware, IDPS, servisi za telerad, servisi zate, &TP, email, web servisi, ugovori
za podrku i odravanje.
Humana informaciona imovina
Zaposleni
zaposleno osoblje, glavni/izvrni menaderi, dizajneri/programeri/ evaluatori programa,
menader i administrator zate, operateri, pravnici, korisnici sa najveim privilegijama,
LAN i administratori zate.
Ne-zaposleni
privremeno zaposleni, spoljni konsultan/specijalis savetnici, specijalis po ugovoru,
snabdevai, poslovni partneri
Ksnovni bezbednosni zahtevi za sistem zate informacija su spreavanje:
ugroavanja bezbednos linos, organizacija i drave; krae, pronevere, gubitaka
i izmene informacija; neovlaenih akvnos u IKTS; povreda intelektualne svojine,
privatnos i poverljivos linih i poslovnih podataka u skladu sa Zakonom o za po-
dataka o linos
10
i Zakonom o za tajnos podataka.
Sistem zate informacija je podsistem IKTS i postaje najvanija komponenta razvo-
ja savremenih IKTS, svih pova i namena; integrie se u IKTS kroz opte funkcionalne
komponente sistema ili dodatne komponente i posebne kanale, koji spajaju elemente
jednog sistema sa drugim. Normalno, IKTS se uglavnom zasnivaju na standardnim hard-
verskosoverskim proizvodima. Mehanizmi i protokoli zate, koji za svoj rad koriste
funkcije IKTS, u velikoj meri zasnivaju se na tehnikoj pouzdanos IKTS. Standardi zate
preporuuju da se sistem zate projektuje paralelno i u toku razvoja prve faze ivotnog
ciklusa, a implemenra u fazi implementacije samog IKTS, za sve faze ivotnog ciklusa
IKTS.
U procesima denisanja bezbednosnih ciljeva, planiranja i projektovanja sistema
zate, u prvom koraku treba razmatra bezbednosno relevantne komponente IKTS:
mrenu arhitekturu, topologiju, infrastrukturu, protokole, servise, plaorme i aplika-
vne programe (Tabela 1.2) [21].
10 U Republici Srbiji stupio na snagu 01.01.2009.
13
BO FOO
Tabela 1.2. Relevantni aspek zate IKTS
Aspek zate Objek zate za analizu
Kljune
karakteriske IKTS
vrsta komunikacionih veza i ureaja i procesi upravljanja, kompleksnost
formalnog opisa IKTS, raznorodnost i prostorna distribucija komponen IKTS,
vrste prezentacije servisa, upravljanje procesima i umreavanje
Servisi IKTS
uspostavljanje veze, predaja podataka, obrada podataka udaljenim pristupom,
prenos datoteka, e-pota, pristup distribuiranim bazama i dr.
Kvalitet IKTS
servisa
ukupan broj veza potencijalna sposobnost uspostavljanja meusobnih veza
korisnika i distribuiranih objekata sistema
vremenska karakteriska brzina isporuke servisa korisnicima na bazi srednjeg
vremena pristupa (zavisi od veliine, udaljenos i optereenja)
srednje vreme isporuke servisa vreme utroeno na obradu zahteva korisnika
u nekom reimu rada sistema
pouzdanost servisa verovatnoa rada sistema bez otkaza
vernost prenosa, pohranjivanja i integriteta informacija, odreena brojem
sistemskih greaka i pristupnih taaka informacijama i podacima
1.3.3. Generiki, funkcionalni model sistema zate
Za razumevanje mesta i uloge sistema zate IKTS, od velike koris je generiki mo-
del sistema zate (Sl. 1.3).
Sl. 1.3. Generiki model sistema zate i meusobni odnosi komponen
14
KO FOJ
Vlasnik IKTS uspostavlja vrednos informacione imovine i odgovoran je za njenu
zatu. Agent pretnje je izvrilac potencijalne pretnje i uvek radi prov interesa vla-
snika sistema. Sistem zate objekte informacione imovine od pretnji pino ma-
licioznih programa i namernih internih i eksternih napada, koje ugroavaju poverljivost,
integritet i raspoloivost objekata informacione imovine. Vlasnik, u proceni rizika, ana-
lizira mogue pretnje i procenjuje, koja od njih je primenljiva u okruenju; procenjuje
ranjivos sistema, iskorisvost te ranjivos sa jednom ili vie pretnji i verovatnou u-
caja na poslovanje. Rezulta analize su rizici. Analiza i procena rizika ukljuuje izbor
razliih kontrola zate za ublaavanje rizika na prihvatljiv nivo, smanjenjem ranjivos i
izloenos u skladu sa zahtevima polike zate vlasnika. Posle implementacije kontrola
zate, agen pretnji mogu iskoris preostale ranjivos, to predstavlja preostali rizik
na prihvatljivom nivou, kojeg vlasnik u neprekidnom (ciklinom) procesu zate uvek
nastoji smanji svim raspoloivim kontrolama zate. Vlasnik mora bi uveren da su pri-
menjene kontrole zate adekvatne za ublaavanje faktora rizika, pre nego to dozvoli
izlaganje IKTS idenkovanim pretnjama. U tom cilju, vlasnik moe trai evaluaciju
internu i spoljnu reviziju (audit) ili serkaciju i akreditaciju (tesranje i odobrenje
za rad) IKTS i sistema zate. Izlaz procesa evaluacije je izjava o akreditatciji (na bazi
rezultata serkacije) da e zatne mere smanji faktore rizika na prihvatljiv nivo. Na
osnovu rezultata evaluacije vlasnik odluuje da li e prihva preostali rizik ili ne, to
dokazuje potpisivanjem dokumenta SKA (Statement of Applicability) [12, 51].
1.3.4. Definisanje optimalnog sistema zatite
Namena programa zate informacija je da idenkuje bezbednosne ciljeve i razvi-
je, implemenra i odrava opmalan (ekonomski rentabilan i funkcionalno efekvan)
sistem zate. Neki IKTS je opmalno zaen, ako ima izbalansirane efekvnos ko-
ntrola zate i trokove njihove akvizicije/razvoja, odnosno, kada su trokovi kontrola
zate potpuno izjednaeni sa procenjenim gubicima [4].
U zavisnos od odnosa strategije zate i postavljenih bezbednosnih ciljeva, mogua
su dva pristupa sintezi opmalnog sistema zate [21]:
Primarni: za da nivo trokova zate Trz obezbedi maksimalno mogui intenzitet vek-
tora zate I (s) =>I
max
, gde je s izabrana strategija zate;
Sekundarni: obezbedi eljene rezultate intenziteta vektora zate I(s) > I
doputeni
, pri mini-
malno moguim trokovima zate T
trmin
15
BO FOO
Pod efekvnou kontrole zate informacija podrazumeva se ekasnost i efek-
vnost u akvnoj za poverljivos, integriteta i raspoloivos informacija u operaci-
jama obrade, skladitenja i prenosa. Kcena efekvnos procesa zate odnosi se na
sposobnost kontrole zate da rei zadatak zate.
U procesu sinteze opmalnog sistema zate, poetne akvnos su izbor matemaki
produkvnog kriterijuma opmalnos, u skladu sa arhitekturom sistema zate, tehno-
logijom obrade informacija i preciznom matemakom formulacijom zadatka, uzimajui
u obzir sve apriorne zakljuke i doputena reenja u skladu sa primarnim kriterijumima.
Za sintezu opmalnog sistema zate treba ima gotova reenja za arhitekturu siste-
ma zate i ocenu kvaliteta njenog funkcionisanja, ocenu osetljivos modela razvoja u
odnosu na apriorne podatke i ziku realizaciju integrisanog sistema zate u IKTS.
Izbor vektora efekvnos kontrole zate I(s) zavisi i od izbora strategije zate s,
koja se odreuje iz skupa strategija zate S. U optem sluaju ta zavisnost se izraava
relacijom transformacijeY skupa moguih strategija S u skup indikatora efekvnos
I [21]:
: Y S I o
Uvoenje indikatora efekvnos I zahteva takvo odreivanje kriterijuma efek-
vnos, koji omoguavaju izbor strategije iz skupa dostupnih. Pri tome, neophodno je
uze u obzir da teoretske osnove za formiranje opmalnih sistema zate nisu dovoljno
usavrene. Za sintezu opmalnih sistema, osim nedostatka dovoljno tane opte teorije
za formiranje metodolokih osnova za fenomene sa faktorima neodreenos, nije pri-
menljiva ni klasina staska teorija.
Pod metodologijom opmizacije sistema zate informacija podrazumeva se razvi-
jena teorija zate, koja povezuje strukturu sistema zate, logiku organizaciju i ko-
ntrole zate u cilju formiranja bezbednosnih funkcija za izbor i izdvajanje podskupa
najboljih strategija zate. Opmalno reenje zate je ono, koje u dam uslovima na
najbolji nain zadovoljava sve uslove razmatranog zadatka, a pose se putem najra-
cionalnije raspodele resursa utroenih na reavanje zadataka zate [21]. U procesu
uspostavljanja opmalnog sistema zate potrebno je vri korekciju zahteva, zbog
faktora neodreenos ponaanja, funkcionalnos ili ciljeva zate. Ksnovni nedostaci
opmizacije sistema zate odnose se na matemaku sloenost reavanja opma-
lnog sistema, teinu programiranja algoritma opmizacije, neprihvatljivo veliko vreme
automatske opmizacije i zavisnost kvaliteta opmalnog sistema od tanos izvornih
ovlaenja i karaktera promena upravljanog objekta zate.
Generalno, opmalni sistem zate dobije se u taki izmeu potpune bezbednos i
nebezbednos, uz ostvarivanje maksimalnog prota (Sl. 1.4) [4].
16
KO FOJ
Sl. 1.4. Kpmalni sistem zate informacija
Sa porastom trokova akvizicije/razvoja sistema zate, raste i nivo bezbednos IKTS,
ali opada potencijalni prot organizacije zbog trokova sistema zate. Zato ne treba
tei sve veem i veem nivou zate po svaku cenu.
1.3.5. Promena paradigme zatite IKTS i inormacija
U za IKTS bazina su dva principa:
po dubini, implementacija serije nezavisnih mehanizama zate za spreavanje
kompromitacije sistema, probojem nekog sloj i
primarna zata najvrednije imovine, alokacija resursa organizacije za zatu na-
jvrednije informacione imovine informacija.
Kva dva principa su tradicionalno graki prikazivana sa prstenovima zate ili tzv.
slojevima luka, koji viekratno preklapaju jezgro. Savremeni razvoj SKA
11
web aplikacija,
virtuelizacija klijentske i serverske strane i razvoj distribuiranog Internet raunarstva
CC (Cloud Compung), kao i neki drugi faktori, zahtevaju promenu klasine paradigme
zate, bazirane na ova dva principa.
Savremene organizacije sve vie diverzikuju lanac vrednos, u kojem uestvuju
razliite organizacije, koje igraju jednako znaajne uloge. Sa aspekta zate IKTS, to znai
da e neki slojevi zate bi efekvni, samo ako se implemenraju u svim organizaci-
jama koje uestvuju u distribuiranom lancu vrednos.
11 Engl.: SKA (Service Oriented Applicaon) servisno orijensane web aplikacije.
17
BO FOO
Ekonomske i nansijske krize su uzrok velikog broja nezaposlenih i esh promena
posla irom sveta, pa nezadovoljni, ve profesionalci sa administravnim privilegijama i
slabim ekim principima, mogu predstavlja ozbiljne pretnje za savremene IKTS (npr. iz-
brisa, modikova ili prodavredne podatke). Gubitak granica organizacije i postojanje
ozbiljnih internih pretnji, menjaju paradigmu zate od slojeva luka na prsten slojeva luka
ili distribuiranu slojevitu zatu po dubini. U ovim uslovima organizacije moraju imple-
menra takav sistem zate, koji je otporan na interne pretnje i obezbeuje poslovanje,
ak i kada je probijen.
Virtualizacija klijentske i serverske strane smanjuje vreme i resurse, potrebne za
uvoenje novih sistema u organizaciju. Takoe, stariji sistemi mogu bi virtuelizovani.
Sa aspekta bezbednos, otvoreno je novo polje za istraivanje adekvatnih mehanizama
zate hipervizora u konguraciji virtuelne mainske introspekcije (VMR), koji bi spreili
nedozvoljenu komunikaciju izmeu virtuelnih maina (VM). Veoma brzo, zata infor-
macija u virtuelnom okruenju CC postae sve znaajnija oblast za istraivanje i razvoj.
Za iznajmljivanje sovera kao servisa (SasS), hardvera (HasS) ili infrastrukture (IasS),
potrebno je samo da se klijent, preko Interneta, povee sa poslovnom aplikacijom prova-
jdera CC usluga. Rad u CC nudi brojne prednos za organizaciju, ali nosi i nove probleme
zate, kao to su
12
: kako za podatke organizacije u CC i koje servise za zatu CIA
informacija treba da obezbede klijen, a koje provajderi CC itd.
Evolucija mobilnih telefona, od prostog telefona sa nekim funkcionalnosma PDA (Per-
sonal Digital Assistant) do ureaja, koji je po funkcionalnos blii personalnom raunaru,
nego bazinom telefonu. Razvoj mobilne telefonije je uneo dodatnu kompleksnost u
oblast zate, jer zahteva sline mehanizme zate, kao za desktop, laptop i prirune
raunare (AVP, personalna barijera i auriranje sovera).
Upotreba digitalnih RS i RM za izvravanje krivinih dela, kao to su prevare, uznemira-
vanja, distribucija ilegalne pornograje i kraa intelektualne imovine i identeta, postala
je surova realnost. Kada se dogodi glavni kompjuterski incident, organizacija u prvom ko-
raku pokuava utvrdi prirodu incidenta i veliinu tete, svojim kapacitema za upravlja-
nje kompjuterskim incidentom. Kad sluaj prevazilazi nadlenos organizacije, incident
se prijavljuje zvaninim organima istrage. U oba sluaja poinje istraga kompjuterskog
incidenta/kriminala, koja ukljuuje ispivanje digitalnih dokaza. Profesionalci, specija-
lizovani za digitalnu forenziku istragu su nezamenljivi u ovom poslu.
Kako se poveava broj digitalnih ureaja, sve vie raste znaaj dnevnika rada (log
datoteka) svih h ureaja, zbog potrebe praenja bezbednosno relevantnih dogaaja. Za
pregled i reviziju obimnih podataka u brojnim log datotekama, potrebni su neprihvatljivo
veliki resursi. Zato je automazovana analiza log datoteka na bezbednosno relevantne
dogaaje, od velikog znaaja za nadzor sistema zate savremenih IKTS. Sveobuhvatni
pristup proveri i reviziji svih distribuiranih log datoteka nije mogu, pa je dobro reenje
centralizovano skupljanje svih log podataka u log server. Akvna, selekvna analiza be-
zbednosno-relevantnih dogaaja u log serveru, na bazi specinog poznavanja realnih
pretnji, koje pogaaju krine poslovne procese, postaje klju za ranu detekciju incidenta.
12 Grubor, G., Njegu, A., Paradigma zate distribuiranog raunarstva, Singergija 10, 2010.
18
KO FOJ
U novom e-okruenju, organizacije moraju generiku metodologiju za upravljanje
rizikom dopuni sa agilnijim tehnikama, zasnovanim na injenicama, dobijenim miko-
ranalizom rizika, umesto scenarija rizika na makro planu. To znai da upravljanje rizikom
mora posta obavezan deo poslovnog odluivanja, na bazi realnih, lokalnih i specinih
pretnji, ranjivos i ucaja na poslovne procese.
Digitalno okruenje postaje znaajan front u savremenom ratovanju, a u budunos
njegov znaaj e jo vie poras. Vie armija u svetu (preko 120) dizajnira, implemenra,
tesra i uvodi defanzivne i ofanzivne alate za scenario kiber ratovanja. Poznato je da se
prakno vode kiber ratovi izmeu Indije i Pakistana, Rusije i Gruzije, Izraela i Palesne,
a Kina sama ve je angaovala vie od 10.000 specijalista za kiber ratovanje.
13
Upravljanje rizikom na mikro nivou, obezbeuje tehnike koje su primenljive i za de-
tekciju malicioznih programa. U toku je razvoj novih alata kao to su ire dostupne krip-
tografske tehnike i tehnologije vieslojne mrene zate (distribuirane barijere, sistemi
za detekciju i spreavanje upada IDPS (Intrusion Detecon and Protecon Systems),
distribuirani sistemi za monitoring i kontrolu saobraaja (skeneri, veb lteri), sistemi
za centralno upravljanje zatom preko zaenih veza, proakvni sistemi zate od
poznah i nepoznah pretnji, objektno orijensani i procesni pristup za smanjenje
kompleksnos zate, programi koji obezbeuju servise zate na heterogenim plaor-
mama itd. Za zatu korisnikih informacija u web i CC okruenju, nije dovoljno samo
implemenra tradicionalne mehanizme zate, nego ih je potrebno ugraiva u dis-
tribuirane hardverske ureaje i sover u fazi njihovog razvoja i proizvodnje.
Na nekoliko univerziteta u svetu, u toku su istraivanja kolonije tzv. digitalnih mrava,
koji u svemu podraavaju prirodne mrave. Specina grupa digitalnih mrava programira
se za jednu vrstu malicioznog programa, na koji se nakon detekcije fokusiraju i alarmi-
raju administratora za nadzor sistema zate.
1.3.6. Opti metod implementacije sistema zatite
Glavni cilj svakog sistema zate je da obezbedi ekasno upravljanje rizikom. Kdnos-
no, rizik nije mogue redukova ako sistem zate nije implemenran i integrisan u IKTS
za podrku poslovnih procesa. Kdgovornost za to imaju svi zaposleni i menadment
organizacije, koji mora imenova odgovarajua lica za koordinaciju i nadgledanje pro-
cesa realizacije sistema zate. Kva lica moraju bi sposobna da idenkuju interne i
eksterne faktore rizika za CIA podataka i informacija, ukljuujui i rizik od nedovoljne i
nekvalitetne obuke u oblas zate.
U praksi zate, izmeu vie raspoloivih, najee se primenjuju dva metoda za im-
plementaciju sistema zate [68,69]:
1. sveobuhvatno ublaavanje ukupnog rizika na prihvatljivi nivo i
2. proces 4fazne tranzicije iz jednog u drugo bezbednosno stanje.
13 EC, Workshop on Informaon security, IN&RA 42589, Hotel aumadija, Beograd, 4-5.10.2010
19
BO FOO
Smanjenje ukupnog rizika, za sve objekte IKTS, na prihvatljiv nivo, dugoroan je i
zahtevan proces, koji podrazumeva sveobuhvatan, sistemski pristup i smanjenje svih
faktora rizika, implementacijom adekvatnih i rentabilnih kontrola zate. Umesto isto-
vremene zate svih objekta IKTS od svake iskorisve ranjivos, preporuuje se alter-
navni metod 4fazne tranzicije IKTS iz jednog u vie bezbednosno stanje. Polazi se od
zate najkrinijih objekata IKTS. Pregled oph faza implementacije sistema zate za
ublaavanje faktora rizika, u zavisnos od krinos objekata koje ugroavaju, dat je u
tabeli 1.3 [69].
Tabela 1.3. &aze implementacije sistema zate
Faza Krini objek za misiju Krini objek Primarni objek Op objek
1. 20 glavnih faktora rizika&R 0 0 0
2. 50 glavnih faktora rizika 20 glavnih &R 0 0
3. 100 glavnih faktora rizika 50 glavnih &R 20 glavnih &R 0
4. 200 glavnih faktora rizika 100 glavnih &R 50 glavnih &R 20 glavnih &R
U 1. fazi te se objek krini za misiju organizacije i ublaava 20 glavnih faktora
rizika, ako procena rizika obuhvata ukupno 200 faktora rizika. Kvaj korak brzo daje re-
zultate i omoguava zaposlenim da prihvate proces proakvne zate.
U 2. fazi proiruje se sistem zate na sledeih 50 faktora rizika, krina za poslove
organizacije. Proces progresivno raste u skladu sa sazrevanjem kapaciteta zate orga-
nizacije, obezbeujui sve dublje nivoe zate RM, RS i aplikacija.
Na ovom konceptu zasnivaju se metodi evaluacije ranjivos, operavno krinih pre-
tnji i informacione imovine OCTAVE (Operaonally Crical, Threat, Asset, and Vulnera-
bility Evaluaon) [68] i brze analize rizika BAR [74]. KCTAVE omoguava da interni m
idenkuje faktore rizika za najkrinije objekte IKTS i izgradi plan zate za ublaavanje
h faktora rizika. BAR analiza rizika se vri na pojednostavljenoj arhitekturi IKTS, gde
se objek sa ism ili slinim bezbednosnim ciljevima, grupiu u bezbednosne zone. U
prvom koraku se ignoriu svi postojei servisi zate, poto ih proces BAR analize sam
derivira. Skup rezultata BAR analize prikazuje se tabelarno u matrici faktora rizika, za
svaku denisanu bezbednosnu zonu. BAR analizu rizika vri m izvrnih menadera sa
specijalistom zate, koji vodi sastanke i poznaje proces.
U svakoj metodi ublaavanja rizika osnovno pitanje je: kako prepozna glavne fakto-
re rizika? Za neke poslovne sisteme, mogue je za procenu ranjivos sistema i primenu
bezbednosnih popravki koris servis poverljivog provajdera zate TTPS (Trusted
Third Party Service) [11], koji pra pretnje na Internetu i dostavlja klijenma informacije
o novim pretnjama ili aplicira bezbednosne popravke. Meum, korienje usluga TTPS
predstavlja znaajan faktor nepoverenja korisnika i nije primenljivo za mnoge sisteme,
zbog zakonskih i drugih ogranienja.
20
KO FOJ
Proces implementacije sistema zate moe se razlikova u odreenim akvnos-
ma, za razliite ciljeve i okruenja organizacija. Generiki tok procesa implementacije
sistema zate odvija se u eri faze [15]:
1. priprema (denisanje obima i granica projekta, izbor ma);
2. idenkovanje bezbednosnih faktora rizika;
3. revizija ekasnos kontrola (sistema) zate i preporuke za izmene i
4. integracija i prilagoavanje sistema zate u skladu sa nalazima revizije.
Svaki proces implementacije sistema zate treba da obuhvata najmanje tri jasno
diferencirane i obavezne komponente [1]: (1) obuku zaposlenih, (2) nadzor kontrolu i
reviziju usaglaenos i (3) nametanje obaveze sprovoenja polike zate.
Obuka zaposlenih ukljuuje detaljno upoznavanje svih zaposlenih sa polikom i pro-
cedurama zate koje se na njih odnose. Kd zaposlenih se moe oekiva odgovornost,
samo ako su svesni ta se od njih oekuje. Bitno je shva da je bezbednost kiber pro-
stora vie problem ljudi i procesa, nego tehnologije. Ljudski resurs je kljuan za zatu
informacija. Polika zate treba da eksplicitno i jasno istakne da e svaki zaposleni
ima obuku za razvoj sves i usavravanje znanja i vena o za, na nivo, potreban za
ekasno izvravanje radnih obaveza.
Kontrola usaglaenos meri stepen usaglaenos, implemenranog i integrisanog
sistema zate sa polikom, standardima i zakonima zate. Menadment organizacije
obezbeuje i odgovaran je za kontrolu opte usaglaenos polike zate sa norma-
vima i standardima i za implementaciju procesa koji nameu poliku zate. Moni-
toring zaposlenih je najlaki nain da se nadgleda normavna usaglaenost polike i
procedura, iako moe bi u sukobu sa zakonom o za privatnos zaposlenih. U veini
organizacija u dravnom i privatnom sektoru, ne oekuje se da zaposleni rade bilo ta
privatno na raunarima na poslu, pa u brojnim dravama nisu zaeni zakonom o za
privatnos. U javnom sektoru u veini razvijenih zemalja zaposleni su zaeni Zakonom
o za linih podataka i na raunarima na poslu. Poslodavac je obavezan da upozori
zaposlene da su svi podaci pod stalnim nadzorom. EU je obezbedila mnogo veu zatu
privatnos u privatnom i javnom sektoru, jer ima sveobuhvatan zakon o za privat-
nos, koji se sve vie globalno prihvata. Prema direkvi EU o za privatnos mogu
se monitorisa [20]: pristup Internetu i ltriranje paketa, korienje epote, saobraaj
brzih poruka, korienje telefona, lokacija zaposlenog (video nadzor) i logovanje otku-
caja tastature. U SAD zakon Electronic Communicaon Privacy Act iz 1996. godine
privatnost zaposlenih na radnom mestu (2001. godine oko 75% kompanija u SAD sni-
malo je i monitorisalo sav saobraaj svojih zaposlenih). Prema tom zakonu, ako poslo-
davac upozori zaposlenog da se vri nadzor, sud to priznaje kao pristanak zaposlenog.
U Republici Srbiji od 1. januara 2009. godine na snazi je Zakon o za informacija o
linos, koji obuhvata i zatu poverljivos i privatnos linih podataka.
Kontrola specine usaglaenos prakse zate sa primenjenim standardima, polikom,
procedurama i planom zate, zahteva verikaciju poslovnih procesa i operavnog korienja
21
BO FOO
tehnologija zate. Za usaglaenost polike i prakse zate odgovorni su zaposleni izvrioci
procesa, ako su za to na vreme obueni, a usvojena znanja i vene provereni. Sve vie se
koriste elektronski, interakvni oblici polike zate, gde se korisnicima pre pristupa RS/RM
na ekranu pojavi prozor, koji zahteva armavno prihvatanje saoptenja polike zate
14
.
Kvakav program obuke je pogodan za najznaajnije faktore rizika (npr. korienje Interneta,
e-pote i pristup zaenim podacima), ali ne i za celu poliku zate. Preporuuje se obuka
i tesranje iz oblas zate tri puta godinje. Merenjem usaglaenos prakse, polike i sta-
ndarda zate, organizacija, u sluaju potrebe, dokazuje pravosudnim organima i poslovnim
partnerima, da svoje informacije i ekasno upravlja sistemom zate, to uliva vee uza-
jamno poverenje.
Interni nadzor, kontrola i tehnika revizija sistema zate, igraju kljunu ulogu u
za kiber prostora i olakavaju eksternu reviziju. Cilj je evaluira efekvnost sistema
zate, proakvno inicira novu procenu rizika i razvoj strategije za ublaavanje rizika.
Uestalost nadzora, kontrole i revizije zasniva se na zdravoj logici: to su vei faktori
rizika i vrednost imovine, ona treba da bude ea. Kd velike je pomoi metod skeni-
ranja za automatsku procenu ranjivos i oporavak IKTS. Obim nadzora, kontrole i re-
vizije mora bi paljivo denisan i treba verikova brojne komponente, procese i doku-
menta zate. Preporuke standarda zate (ISK/IEC 27001) su da se najmanje jednom
godinje procenjuje rizik, a na osnovu te procene pravi plan za interni nadzor, kontrolu i
reviziju. Preporuuju se runske vebe i simulacije kompjuterskog incidenta i vanrednog
dogaaja, ime se ise znaaj nadzora, kontrole i revizije, obezbeuju priorite zate
i upravljanje kompjuterskim incidentom razliitog nivoa intenziteta.
Nezavisna (eksterna) revizija (audit) najee se vri u fazi reinenjeringa IKTS u
cilju poveanja produkvnos i smanjenja trokova poslovanja. Ukljuivanje spoljnih
revizora unosi dodatni rizik, koji se mora razmatra. Spoljna revizija se mora izvri u
bezbednom okruenju i atmosferi poverenja, uz obavezno prisustvo internog revizora i
odobrenje glavnog menadera.
Nametanje obaveze sprovoenja polike zate je krian faktor uspeha. Revi-
zija sistema zate je u suni u ovoj funkciji. Izvetaj revizora deo je dokumentacije
zate, a moe se koris da pokae mertriki sistem revizora, pomogne u planiranju,
izvravanju i kontroli procesa revizije, olaka kontrolu rada nezavisnog revizora, evalu-
ira sistem kvaliteta procesa revizije, obezbedi podrku u sluaju naplate polise osigu-
ranja ili sudskog gonjenja itd. [21]. U Izvetaju o reviziji treba obradi pitanja kao to su:
zaenost sistemskih i aplikavnih programa, aurnost i usaglaenost polike i drugih
dokumenata zate, adekvatnost i prihvatljivost manuelnog/ automazovanog sistema
revizije, format izvetaja o reviziji, svest o potrebi itd.
Revizorski izvetaj je ulazna informacija za reinenjering i korekciju slabih taaka
sistema zate. Sankcije za nesprovoenje polike zate moraju bi unapred plani-
rane, jer nema smisla implemenra sistem zate, ako se povrede ignoriu.
14 David :. Lineman, The New ISO 17799:2005 Security Policy Implicaons For Business, Informaon
Shield Policy, 2010.
22
KO FOJ
1.4. REZIME
Bezbednost informacija u IKTS je objekvna mera/ocena stanja rizika ili stanja sigu-
rnog, pouzdanog i neometanog funkcionisanja IKTS, u odnosu na sam sistem i njegovo
okruenje. Sistem se smatra bezbednim, ako je zaen od ucaja faktora rizika. Sigu-
rnost IKTS je sinonim bezbednos, subjekvna mera uverenja korisnika da je sistem
bezbedan. Nivo bezbednosnog stanja odreen je nivoom preostalog prihvatljivog rizika.
Ukupna bezbednost proporcionalna je skupu bezbednosnih stanja svih komponen,
koje neravnomerno, adivno uu na ukupnu bezbednost, a najvei ucaj imaju najo-
setljivije komponente sistema bezbednos.
Bezbednost IKTS je konkretno, situacioni problem stanja sistema i realnog okruenja
i ne postoji univerzalno i nepromenljivo stanje bezbednost IKTS. U realnim uslovima,
sa porastom pretnji nivo ukupne bezbednos IKTS nelinearno opada, zbog stohaske
prirode pretnji. Odravanje stanja bezbednos IKTS, na prihvatljivom nivou rizika,
obezbeuje implemenrani sistem zate poverljivos, integriteta i raspoloivos
informacijaorganizovan i koherentan skup U, O i T kontrola zate i njihovih veza i
ogranienja, primenjenih na IKTS, radi zate raspoloivos, poverljivos i integriteta
informacija i namenjenog funkcionisanja IKTS u izvravanju poslovnih ciljeva i misije or-
ganizacije.
Ksnovnu funkcionalnost sistema zate ine servisi zate, koji se implemenraju
izvravanjem skupa bezbednosnih funkcija. Bezbednosne funkcije vre mehanizmi i
protokoli zate: pojedinani algoritmi, hardversko-soverski moduli i metodi. Za upra-
vljanje mehanizmima zate obezbeene su odreene kontrolne strukture ili kontrole
zate, koje obuhvataju U, O i T kontrole.
Sa aspekta zate, osnovni zahtev je smanjenje kompleksnos, to se pose sistem
-inenjerskim, objektno-orijensanim i procesnim pristupom u svim fazama razvoja IKTS.
Smanjenje kompleksnos poinje uvoenjem grana informacionih objekata zate:
raspoloivost, integritet i poverljivost informacija, ime se struktuira bezbednosni cilj i
grana objekata za zatu: U, O i T kontrole zate, koje struktuiraju sredstava za pos-
zanje bezbednosnog cilja.
U generikom modelu sistem zate informacionu imovinu od pretnji, mali-
cioznih i namernih napada. Kontrole zate se implemenraju da redukuju ranjivos i
izloenost IKTS u skladu sa rezultama procene rizika i zahtevima polike zate. Preo-
stali rizik, na prihvatljivom nivou, vlasnik sistema nastoji smanji u ciklinom procesu
zate. Cilj svakog programa zate informacija je da razvije opmalan sistem zate,
koji u dam uslovima na najbolji nain zadovoljava sve uslove, a pose se putem najra-
cionalnije raspodele resursa utroenih na reavanje zadataka zate.
Savremeni web servisi (web aplikacije, SKA, Cloud Compung i dr.) i e-poslovanje
zahtevaju promenu paradigme klasine zate IKTS, sa reenjima distribuiranih mehani-
zama zate, koji se ne samo implemenraju, nego i ugrauju u hardverske i soverske
komponente u toku njihovog razvoja.
23
BO FOO
U praksi zate primenjuju se dva glavna metoda za implementaciju sistema zate
od dinamiki promenljivih pretnji: sveobuhvatnim smanjenjem ukupnog rizika na pri-
hvatljivi nivo, to zahteva velike resurse i procesom 4-fazne tranzicije iz jednog u vie
bezbednosno stanje, koji preporuuje metod KCTAVE. U 1. fazi obezbeuje se zata
objekata krinih za misiju organizacije od glavnih faktora rizika, a u sledeim fazama
progresivno razvija program zate od ostalih faktora rizika. Generiki proces imple-
mentacije sistema zate odvija se u eri faze: (1) priprema i izbor ma, (2) idenko-
vanje internih i eksternih faktora rizika, (3) nadzor, kontrola i revizija i (4) usaglaavanje
programa zate.
Svaki proces implementacije programa zate moe bi razliit u organizacijama, ali
treba da obuhvata tri obavezne komponente: obuku zaposlenih, kontrolu usaglaenos
i nametanje obaveze izvravanja polike i procedura zate. Kbuka treba da obuhva
sve strukture zaposlenih. Usaglaenost obuhvata optu usaglaenost programa i poli-
ke zate sa zakonima i standardima i specinu usaglaenost prakse i polike zate.
Kbaveze sprovoenja programa i polike zate namee se merama internog nadzora,
kontrole i revizije i eksterne revizije (auding), obaveznog izvetavanja o bezbednosno
relevantnim dogaajima i sankcionisanja nesprovoenja polike zate.
24
KO FOJ
1.5. KLJU,NI TERMINI
Arhitektura sistema zate: funkcionalni odno-
si komponen sistema zate.
Bezbednost: objekvna mera/ocena stanja si-
stema u odnosu na samog sebe ili okruenje.
Sinonim: sigurnost.
IKTS: sistem IKT, koji obuhvata integrisani skup
ljudi, programa, hardvera, protokola, komuni-
kacione infrastrukture, procesa i njihovih me-
usobnih veza. Sinonim: IS.
Informacija: podaci o injenicama, saznanjima,
procesima i pojavama, o stanju objekata u nekoj
predmetnoj oblas; skup podataka koji donosi
novo saznaje.
Informaciona imovina: obuhvata istu infor-
macionu imovinu (digitalni podaci i informacije,
aplikavni i sistemski programi), ziku (in-
frastruktura za podrku i kontrolu okruenja
IKTS, hardver i ostala imovina IKTS) i humanu
(zaposleni i nezaposleni).
Integritet informacija, sistema: stanje u
kojem informacije/sistemi nisu izmenjeni na
neovlaen nain.
Kontrole zate: upravljaki okvir mehani-
zama i protokola zate; grupiu se u klase
upravljakih, operavnih i tehnikih kontrola;
interfejs izmeu mehanizma zate i oveka.
Korisnik IKTS: lice/grupa/program korisnika
IKTS sa pravima pristupa i korienja servisa.
Mehanizmi i protokoli zate: pojedinani al-
goritmi, hardverskosoverski moduli i metodi
za izvravanje bezbednosnih funkcija; u logi-
kom smislu realizuju servise zate.
Model: aproksimacija realnog sistema, koja
priblino predstavlja tokove procesa, funkcioni-
sanje i/ili druge relevantne atribute realnog
sistema.
Neporecivost informacija: stanje sistema u
kojem stranke u transakciji ne mogu naknadno
porica izvrene akvnos u transakciji ili delo-
vima transakcije.
Objek zate: ziki, logiki i humani objek
informacione imovine, koje sistem zate.
Opmalni sistem zate: sistem zate u kojem
su trokovi kontrola zate potpuno izjednaeni
sa procenjenim potencijalnim gubicima.
Plan zate: sveobuhvatan strateki doku-
ment za zatu informacija; predstavlja plan
implementacije programa, polike i procedura
zate.
Polika zate IKTS: izjava na nivou IKTS koja
obezbeuje okvir oekivanog i obaveznog
ponaanja upravne strukture, zaposlenih, teh-
nologije i procesa. Procedure zate: Precizno
denisani naini primene elemenata polike
zate sa listom detalja i specinih koraka koje
pojedinci moraju sprovodi.
Pouzdanost (funkcionalna, tehnika, opera-
vna): korektno funkcionisanje komponen i
sistema u operavnom okruenju, sa perfor-
mansama u propisanim granicama.
Poverljivost informacija/sistema: stanje u ko-
jem su informacije/sistemi nedostupni neo-
vlaenim korisnicima.
Program zate: sveobuhvatan skup akvnos
za zatu informacione imovine organizacije;
predstavlja smernice za izradu, polike, proce-
dura i plana zate.
Raspoloivost informacija/sistema: stanje u
kojem se informacijama/sistemima moe pri-
stupa po potrebi.
Servis zate: logike aplikacione jedinice, koje
se izvravaju kroz razliite akcije, izvravanjem
mehanizama i protokola zate.
Sigurnost sistema: mera subjekvnog oseaja/
uverenja da je sistem bezbedan, da mu ne pre
nikakva opasnost, jer je zaen. Sinonim: bez-
bednost sistema.
Sistem zate: organizovan i koherentan skup
U, O i T kontrola zate i njihovih veza i ogra-
nienja, primenjenih na IKTS da bi se zala
CIA informacija.
25
BO FOO
1.6. PITANJA ZA PONAVLJANJE
1. Tendencija je da se terminologija zate
informacija to je mogue vie uini:
a. kompleksnom i nerazumljivom za kra-
jnje korisnike iz bezbednosnih razloga
b. jasnom i razumljivom za sve korisnike
c. jasnom i razumljivom samo za specijal-
iste zate
d. nejasnom i nerazumljivom za menade-
re organizacije
2. Bezbednost IKTS je:
a. objekvna mera/ocena stanja rizika
IKTS
b. subjekvna ocena stanja zaenos
IKTS
c. funkcionalna komponenta IKTS
d. ni jedan od navedenih odgovora
3. Nivo ukupne bezbednos sloenog sistema
(Bu):
a. raste priblino linearno i adivno sa
porastom nivoa bezbednos njenih
relavno nezavisnih bezbednosnih
komponen (B1, B2, ..., Bn)
b. raste priblino nelinearno i mulplika-
vno sa porastom nivoa bezbednos
njenih relavno nezavisnih bezbednos-
nih komponen (B1, B2, ..., Bn)
c. raste priblino nelinearno i adivno
sa porastom nivoa bezbednos njenih
relavno nezavisnih bezbednosnih
komponen (B1, B2, ..., Bn)
4. &unkcija zavisnos komponen bezbednos
IKTSBi od faktora rizikaRi je:
a. linearno opadajua
b. linearno rastua
c. nelinearno opadajua
d. eksponencijalno opadajua
5. Stabilno odravanje stanja bezbednos
IKTS na odreenom nivou, najtanije obez-
beuje:
a. m specijalista za zatu
b. sistem servisa i kontrola osnovne za-
te
c. odravanje rizika na prihvatljivom nivou
d. m za zatu i implemenrani sistem za
zatu
6. Na bezbednosno stanje IKTS uu sledei
kljuni faktori:
a. korisniki zahtevi i polika zate
b. funkcionalni zahtevi i organizaciona
struktura IKTS
c. kadrovska struktura i ugled organizacije
d. razvoj tehnologija i malicioznih pro-
grama
e. razvoj standarda i normava zate
f. kompleksnost IKTS i terminologije
zate
7. Sa aspekta kvaliteta, nuno je i dovoljno
obezbedi sledea svojstva informacija:
a. blagovremenost, tanost, korisnost
b. poverljivost, integritet, raspoloivost
c. blagovremenost, tanost, integritet
d. poverljivost, tanost, integritet, raspo-
loivost
e. blagovremenost, integritet,
raspoloivost
8. Sistem zate najbolje objanjava izraz:
a. adivna funkcija intenziteta vektora
zate
b. skup funkcija zate sa kojim se
izvravaju odreeni bezbednosni zadaci
c. mulplikavna funkcija intenziteta
vektora zate
d. organizovan i koherentan skup
upravljakih, organizacionooperavnih
i tehnikih kontrola zate
9. Kpmalni sistem zate je sistem, koji u
dam uslovima:
a. na najbolji nain zadovoljava sve
bezbednosne zahteve, sa racionalnim
resursima za akviziciju, implementaciju i
odravanje sistema zate
b. ne zadovoljava sve bezbednosne
zahteve, ali se pose se neznatnim
resursima za akviziciju, implementaciju i
odravanje sistema zate
c. zadovoljava sve bezbednosne zahteve,
ali se pose se znaajnim resursima za
akviziciju, implementaciju i odravanje
sistema zate
26
KO FOJ
10. Servis zate je:
a. logika aplikaciona jedinica, koja
se izvrava kroz razliite akcije,
izvravanjem mehanizama i protokola
zate
b. hardverskosoverski modul za
izvravanje bezbednosnih funkcija
c. konana klasikacija mehanizama
zate i interfejs prema korisniku
11. Mehanizam zate je:
a. proces ili neprekidna akvnost, koja se
izvrava izvravanjem bezbednosnih
funkcija kontrola zate
c. interfejs prema korisniku servisa zate
12. Kontrola zate je:
a. proces ili neprekidna akvnost, koju
vre bezbednosne funkcije mehanizama
zate
c. konana klasikacija mehanizama
zate i interfejs izmeu mehanizma
zate i oveka
13. Dva glavna metoda za implementaciju
programa zate su:
a. metod ivotnog ciklusa sistema i metod
vodopada
b. sveobuhvatno ublaavanje ukup-
nog rizika na prihvatljiv nivo i metod
etverofazne tranzicije iz jednog u
drugo bezbednosno stanje
c. iteravni metod i metod brzog odgo-
vora
14. U objektno orijensanom pristupu za
smanjenje kompleksnos uvode se grane
objekata:
a. informaciono komunikacionog sistema
b. informacione imovine ili CIA informacija
c. raunarske mree i web servisa
d. mera i sredstava zate ili proceduralnih
i tehnikih kontrola zate
15. ista informaciona imovina obuhvata:
a. digitalni podaci i informacije, opipljiva
informaciona imovina, neopipljiva infor-
maciona imovina, aplikavni program,
sistemski program
b. infrastruktura za podrku IKTS, kontrole
okruenja IKTS, hardver IKTS, imovina
IKTS
c. aplikavni program, sistemski program,
infrastruktura za podrku IKTS
d. zaposleni, ne-zaposleni, spoljni sarad-
nici, poslovni partneri
e. zaposleni, ne-zaposleni
16. &izika imovina obuhvata:
informaciona imovina, neopipljiva inf.
imovina, aplikavni program, sistemski
program
IKTS
17. Humana imovina obuhvata:
informaciona imovina, neopipljiva inf.
imovina, aplikavni program, sistemski
program
IKTS
18. Relevantni aspek zate IKTS, koje treba
razmatra kao objekte zate obuhvataju:
a. kljune karakteriske pretnji, servisi
IKTS, kvalitet IKTS servisa
b. kljune karakteriske IKTS, servisi IKTS,
kvalitet IKTS servisa
c. kljune karakteriske IKTS, servisi
zate IKTS, kvalitet IKTS servisa
d. kljune karakteriske IKTS, servisi IKTS,
kvalitet servisa zate
19. Generiki model sistema zate obuhvata
sledee objekte:
a. vlasnik IKTS, agent pretnje, sistem
27
BO FOO
zate, pretnja, CIA informacija, pro-
cena rizika, kontrole zate, ranjivos,
izloenost,
b. polika zate, preostali rizik, prihvatlji-
vi nivo rizika, evaluacija, serkacija i
akreditacija, SKA
c. administrator IKTS, preostali rizik,
prihvatljivi rizik, evaluacija, serkacija i
akreditacija, SKA
d. vlasnik IKTS, servisi zate, pretnje,
topologija RM, procena rizika, kontrole
zate, ranjivos, izloenost, polika
zate, dokument SKA
20. U za savremenih IKTS bazina je pri-
mena sledea dva principa:
a. odbrana po dubini i primarna zata
najvrednije informacione imovine
b. odbrana po dubini i prstenovi zate
c. virtuelizacija i prstenovi slojeva luka
d. digitalni mravi i prstenovi slojeva luka
21. U za savremenih IKTS nova paradigma
zate obuhvata sledee tehnologije:
a. odbrana po dubini i primarna zata
najvrednije informacione imovine
b. odbrana po dubini i prstenovi zate
c. virtuelizacija i prstenovi slojeva luka,
proakvna zata
d. digitalni mravi, prstenovi slojeva luka,
IDPS, proakvna zata
22. Generike tok procesa implementacije
sistema zate obuhvata sledee faze:
a. priprema (denisanje obima i granice
projekta i izbor ma)
b. stalni nadzor i interna revizija
c. idenkovanje bezbednosnih faktora
rizika
d. serkacija i akreditacija sistema zate
e. revizija ekasnos sistema zate i
preporuke za izmenu
f. integracija i prilagoavanje kontrola
zate u skladu sa nalazima revizije
23. Kbavezne komponente sadraja svakog
procesa implementacije sistema zate:
a. obuka zaposlenih, nadzor i revizija
usaglaenos i nametanje obaveze
sprovoenja polike
b. obuka zaposlenih i nametanje obaveze
izvravanja polike zate
c. obuka zaposlenih, kontrola pristupa,
akreditacija i serkacija sistema
24. Potencijalno korisne upotrebe izvetaja o
reviziji sistema zate su (ISACA) da:
a. evaluira poliku zate i sistem kvaliteta
procesa revizije
b. demonstrira metriki sistem i pomogne
u planiranju i izvravanju revizije
c. olaka kontrolu rada IKTS i obezbedi
izradu plana zate
d. obezbedi podrku u sluaju naplate
polise osiguranja ili sudskog gonjenja
25. Nametanje obaveze sprovoenja progra-
ma/polike zate je:
a. krian faktor uspeha programa/poli-
ke zate i u funkciji revizije sistema
zate
b. znaajan za uspeh programa/polike
zate, ali ne zavisi od revizije zate
c. krian faktor uspeha programa/poli-
ke zate, a revizija je u toj funkciji
d. nije krian faktor uspeha programa/
polike zate, a revizija je u toj funkciji
28
KO FOJ
2.
PRINCIPI, STANDARDI I NORMATIVI ZATITE
2.1. UVOD
Kompleksni sistem zate informacija ukljuuje principe, standarde, normave,
praksu i tehnologije na kojim su zasnovani. Za harmonizaciju sistema zate, potre-
bna je koordinacija svih ovih faktora. Princip je fundamentalna isna ili zakonitost,
koja se uzima bez dokazivanja kao osnova za izvravanje racionalne akvnos. Gener-
alno prihvaeni principi zate informacija GAISP (Generally Accepted Informaon
Security Principles), nastali su saradnjom ekspertskih mova iz vie zemalja (EU, SAD,
Kanade, Australije itd.) i na osnovu brojnih standarda (KECD, NIST, ISK/IEC 17799, ISK/
IEC 27001, CKBIT i dr.). GAISP principi zate se auriraju svake tri godine i impliciraju
da svaki princip u odreenom sluaju moe ima izuzetak. Specijalis zate ih koriste
u svim fazama ivotnog ciklusa sistema zate, proizvoai u proizvodnji komponen/
ureaja, a vlasnici i menaderi za razvoj programa zate. GAISP principi se odnose na
zike, tehnike, personalne i proceduralne komponente, a dele na opte - za upravlja-
nje zatom, funkcionalne - za operavno upravljanje komponentama sistema zate i
detaljne - za upravljanje mehanizmima zate. Konzistentni principi zate su osnovni
gradivni elemen procesa zate.
Standardi zate obezbeuju iroko prihvaena pravila za upravljanje zatom info-
rmacija, a mogu se izvodi iz normava (Zakoni i podzakonska akta) ili industrijskih sta-
ndarda najbolje prakse zate. Pomau korisnicima da prevedu zahteve za zatu iz no-
rmava u zahteve polike zate. Normavi u oblas zate obezbeuju osnovni okvir
za ire uspostavljanje i implementaciju programa zate IKTS u organizacijama, kao i
mehanizme sankcionisanja koji moviu korisnike da ih sprovode. Principi, standardi i
normavi zate ine metodoloku osnovu za izradu dokumenata zate.
29
BO FOO
2.2. SISTEMSKI PRINCIPI ZATITE
Sistemski principi zate su preuze iz procesa upravljanja IKTS (to implicira termin
sistemski). Kbuhvataju opte prihvaene i u praksi dokazane personalne, organiza-
cione i operavne mere u IKTS, koje spreavaju sukob nadlenos i interesa, zloupotre-
bu privilegija i poveavaju optu pouzdanost resursa IKTS. Efekvni su mehanizmi za
odravanje pouzdanog rada sistema i baza za implementaciju GAISP principa [27,43,64].
Sistemski principi su obavezan okvir u koji se ugrauju specini GAISP principi zate
i obuhvataju principe [61]: nikada sam, rotaciju radnih mesta, razdvajanje dunos,
minimum privilegija, zna samo to je potrebno i principe upravljanja IKTS.
Princip nikada sam spreava monopolski poloaj i obezbeuje samokontrolu u IKTS
i zahteva zapoljavanje najmanje dva lica, za sledee bezbednosno relevantne poslove:
autorizaciju prava pristupa; procesiranje osetljivih informacija; tesranje i prijem hard-
vera i sovera; modikaciju hardvera, sovera i IKTS; projektovanje i implementaciju
baze podataka, sistemskih, aplikavnih i programa za zatu; izmenu dokumentacije i
procedura u IKTS; destrukciju vanih programa itd.
Rotacija radnih mesta zahteva da ni jedno lice ne ostane na nekom bezbednosno
znaajnom mestu u IKTS toliko dugo da pomisli da je nezamenljiv. Rotacija osoblja se
preporuuje, ali zavisi od broja zaposlenih i kvalikovanih lica.
Razdvajanje dunos zahteva da ni jedno lice istovremeno ne moe obavlja dve ili
vie od deset sledeih parova funkcija u IKTS:
1. operavni rad na raunaru programiranje;
2. unos i priprema podataka za obradu obrada podataka;
3. obrada podataka kontrola kvaliteta IKTS;
4. operavni rad na raunaru uvanje elektronskih medija;
5. prijem osetljivih informacija predaja osetljivih informacija;
6. kopiranje, izdavanje/unitavanje osetljivih informacija izdavanje ovlaenja;
7. programiranje aplikacija sistemsko programiranje;
8. programiranje aplikacija administracija baza podataka;
9. projektovanje, implementacija/modikacija sistema zate - bilo koji drugi;
10. kontrola ovlaenja za pristup bilo koji drugi posao.
U manjim IKTS, uprkos sistemskom principu razdvajanja dunos, u porastu je tende-
ncija konvergencije dunos administratora sistema i administratora zate.
Princip minimuma privilegija znai davanje to je mogue manje privilegovanih
naloga za pristup objekma IKTS.
Princip zna samo to je potrebno znai davanje prava pristupa samo informacijama
potrebnim za obavljanje posla.
30
KO FOJ
Princip upravljanja IKTS obezbeuje osnovni nivo upravljanja zatom, a obuhvata
postavljanje zikih prepreka i ogranienja i administravno nametanje pravila ponaanja
u radu sa IKTS. Fizika ogranienja, ukljuuju: bezbedno uvanje elektro-opkih medi-
ja; pripremu osetljivih podataka za obradu u restrikvnom prostoru; odvojenu radnu
sobu programera od serverske sobe; zabranu pristupa u sobu administratora zate za
sve osim zaposlenih u zate; skladitenje otpada za unitavanje na bezbedno mesto
izvan serverske sobe i dr. Administravno upravljanje zatom ukljuuje upravljanje
korisnikim nalozima za pristup IKTS.
Takoe, mogue je nai vezu izmeu oph principa zate informacija i biologije,
kao to su koncep malicioznih programa virusa i crva i trofazni koncept prevencije,
detekcije i kontrole, koji se koriste u biologiji i za informacija.
2.3. OPTE PRIHVA*ENI PRINCIPI ZATITE
2.3.1. Namena GAISP principa zatite
Ksnovna namena GAISP principa zate je da pomogne vlasnicima informacija za
upravljanje, specijalisma zate za razvoj sistema zate, a proizvoaima za proiz-
vodnju komponen i ureaja zate. GAISP principi imaju viestruku upotrebljivost i
koriste se da [27,43]: promoviu najbolju praksu zate; obezbede referentne principe
usaglaenih miljenja i prakse zate; moviu poslovne sisteme i uvere menadere da
je zata konzistentna i merljiva; poveaju kontrolu i bezbednost operavnog okruenja;
smanje trokove zate; omogue serkaciju sistema i izradu polike zate; poveaju
efekvnost servisa i specijalista zate; poveaju poverenje u proizvode zate; ubrzaju
razvoj metodologija i tehnologija zate itd.
2.3.2. Struktura GAISP principa zatite
GAISP principi su sveobuhvatna hijerarhija instrukcija za obezbeenje opte
prihvaenog okvira za zatu IKTS, koji ukljuuje osnovne na upravljakom, funkcio-
nalne na operavnom i detaljne na tehnikom nivou. Osnovni GAISP principi us-
meravaju menadment i pomau organizaciji da denie efekvnu strategiju zate.
Funkcionalni GAISP principi, su gradivni blokovi osnovnih i detaljnije deniu takku
izgradnje efekvne arhitekture sistema zate. Detaljni GAISP principi su namenjeni za
profesionalce u za, a koriste funkcionalne principe kao okvir i obezbeuju specina,
sveobuhvatna uputstva za dnevne akvnos u procesima upravljanja rizikom i sistemom
zate.
31
BO FOO
U praksi zate, treba obezbedi da je svaki GAISP princip precizno denisan, kom-
pletan i konzistentan, usaglaen sa bezbednosnim ciljem, tehniki racionalan i prihva-
tljiv, dobro prezenran, gramaki korektan i jeziki razumljiv i usklaen sa primenljivim
standardima i uputstvima zate.
GAISP principi zate su struktuirani i opisani u standardnom formatu naziv, deni-
cija, objanjenje (opis) i primer principa, kao na primer:
Ime: kontrolisana odgovornost (accountability) za logiku kontrolu pristupa.
Denicija: ovlaenja i odgovornos za pristup moraju u sistemu zate bi jasno denisani,
shvaeni, lino prihvaeni i kontrolisani.
Objanjenje: kontrolisana odgovornost omoguava da se kontroliu akcije svih uesnika
koji interakvno rade u IKTS. Uloge i odgovornos se jasno deniu, idenkuju i dodeljuju
ovlaenja pristupa osetljivim i krinim informacijama, zaposlenim na svim nivoima orga-
nizacije. Odnosi izmeu uesnika, procesa i informacija moraju bi jasno denisani, doku-
mentovani i prihvaeni od svih uesnika, koji moraju preuze odgovornos.
Primer: na osnovu pregleda i analize bezbednosno relevantnih dogaaja u log datoteci
sistema, treba izvri reviziju krinih informacija. Log datoteka sadri sve izmene infor-
macija.
2.3.2.1. Opti GAISP principi zatite
Kp GAISP principi (tabela 2.1) pomau organizaciji da denie efekvnu strategiju
zate.
Tabela 2.1. Kp GAISP principi zate
GAISP princip Opis
Sves o potrebi
zate
svi relevantni uesnici treba da budu svesni primenljivih pretnji za
bezbednost IKTS i tehnologija zate informacija.
Kdgovornos
ovlaenja i odgovornos moraju u sistemu zate bi jasno denisani,
shvaeni, prihvaeni i kontrolisani.
Stalnog preispivanja
rizik za informacionu imovinu mora se regularno periodino
procenjiva, a procesi zate neprekidno unapreiva.
Demokranos
u procesima zate treba jednako uvaava privatnost, lina i autorska
prava i dostojanstvo svih uesnika.
Ekog ponaanja
informacije koje se te treba da budu eki prihvatljive, a
administriranje zate u skladu sa opm kodeksom ponaanja.
Integracije
principi, standardi i mehanizmi treba da budu komplementarni i
sinergijski integrisani u poliku, procedure i kontrole zate.
Muldisciplinarnos
principi, standardi i mehanizmi zate treba da sveobuhvatno ukljuuju
sve relevantne aspekte razliih disciplina.
Proporcionalnos
kontrole zate treba projektova, implemenra i primenjiva za
zatu informacija, proporcionalno proceni rizika.
Blagovremenos
sve komponente zate treba da blagovremeno spreavaju napade na
IKTS.
32
KO FOJ
Po svojoj prirodi su fundamentalni, retko se menjaju i obuhvataju zatu CIA infor-
macija. Kbjavio ih je komitet KECD, a prihvao NIST sa neznatnim proirenjem.
2.3.2.2. Funkcionalni GAISP principi zatite
&unkcionalni principi zate brojniji su i detaljniji od oph, ine okvir za razvoj jo
brojnijih, detaljnih principa, a menjaju se sa glavnim promenama okruenja i tehnologija
zate. Predstavljaju gradivne blokove osnovnih principa zate, deniu preporuke za
implementaciju i operavnu primenu kontrola zate, a ine ih sledei principi: polika
zate, obuka i razvoj sves o potrebi zate, odgovornost, upravljanje informacionom
imovinom, upravljanje zikom i zatom okruenja, upravljanje personalnom zatom,
upravljanje incidentom, upravljanje zatom u ivotnom ciklusu IKTS, kontrola pristupa,
upravljanje vanrednim dogaajem i konnuitetom poslovanja, upravljanje bezbedno-
snim rizikom, zata mree od rizika sa Interneta, normavni, administravni i ugovorni
zahtevi, eki principi itd.
2.3.2.3. Detaljni GAISP principi zatite
Detaljne GAISP principe deniu i primenjuju specijalis zate u dnevnom radu. Kni
ine osnovne elemente procedura zate i esto se menjaju sa promenama tehnologi-
ja. Sadre detaljna objanjenja i podravaju jedan ili vie funkcionalnih GAISP principa.
Usaglaavaju se sa funkcionalnim principima, ukljuujui nove tehnologije i pretnje. Na
primer, detaljni princip kontrole pristupa podrava funkcionalni princip kontrolu pris-
tupa, koji, pak, podrava op princip proporcionalnos, a opisuje se u formi:
Ime: detaljni princip kontrole pristupa.
Denicija: koris jednokratne lozinke za logiku kontrolu pristupa svim informacijama.
koje se smatraju krinim za organizaciju.
Objanjenje: viestruko koriene lozinke su tradicionalno jedina tehnika na raspolaganju
za kontrolu pristupa objekma IKTS. Tehnoloke promene uinile su lozinke za viekratnu
upotrebu zastarelim u brojnim primenama. Za kontrolu pristupa i autenkaciju uvodi se
lozinka za jednokratnu upotrebu, koju omoguava tehnologija smart karca.
Primer: primena smart karce za ulazak u zgradu, radnu prostoriju i pristup raunaru.
33
BO FOO
2.4. STANDARDI ZATITE
2.4.1. Generika definicija standarda zatite
Prva faza razvoja standarda zate je razvoj R&C (Request For Comment) specikacija
[78, 79]. Kada R&C specikacija postane razumljiva, stabilna i tehniki kompetentna,
moe posta standard zate, kroz prelazne forme nacrta i de facto standarda. Telo za
standardizaciju IET& (Internet Engineering Task Force) objavljuje R&C po odobrenju IESG
(Internet Engineering Steering Group) [39].
Standard zate je usvojen i objavljen dokument koji uspostavlja specikaciju i pro-
cedure, dizajnirane da obezbede da dokumenta, materijali, proizvodi, metodi ili se-
rvisi zate, odgovaraju nameni i konzistentno izvravaju predviene funkcije. U pra-
ksi, standard zate sadri itav set aranmana za pokrivanje to veeg broja pinih
bezbednosnih zahteva za odravanje rizika na prihvatljivom nivou. Standardi zate
obezbeuju preporuke za razvoj, implementaciju i odravanje sistema zate i glavni je
alat za poboljanje kvaliteta kontrola zate, integrisanjem delova standarda u poslovne
procese, procenu kvaliteta i izbor kontrola zate, poboljanje programa obrazovanja,
obuke i razvoja sves o potrebi zate itd. Bitni atribu kvaliteta svakog standarda su, da
je: dokumentovan, raspoloiv, sveobuhvatan, izdat od strane nacionalnog tela za stan-
dardizaciju, adekvatan nameni, rentabilan, dobrovoljno prihvaen, usaglaen sa zako-
nima i da obezbeuje indikatore progresa [64].
Standardi zate uvode promene u upravljaki okvir sistema zate. Primarni cilj stan-
darda zate nije sama standardizacija sistema zate, to bi se moglo lako zloupotrebi.
Potpuno standardizovana zata sigurno bi izazvala znatno vei broj napada i pokuaja
proboja, a to bi moglo ugrozi i sam koncept zate.
2.4.2. Opti model standarda zatite
Kp, hijerarhijski model standarda zate ukljuuje terminologiju, principe, meto-
dologiju, elemente stan-
darda, uputstvo i dodatke
za primenu, tehnike i alate
(sl. 2.1).
Terminologija ukljuuje
listu denicija i pojmova.
Principi obezbeuju gener-
alno prihvatljiva, aksiomats-
ka pravila za izradu uput-
stava zate. Metodologija
Sl. 2.1. Kp model standarda zate informacija [61]
34
KO FOJ
(okvir) obezbeuje pojednostavljen opis naina korienja koncepta, metoda i tehnika i nji-
hovih meusobnih odnosa. Elemen standarda obezbeuju specine zahteve za deni-
sanu komponentu zate. Uputstvo obezbeuje detaljniji opis primene elemenata sta-
ndarda u specinim situacijama. Tehnike i ala podravaju primenu standarda [61].
2.4.3. Tela za standardizaciju zatite
Standardi postoje za komponente i sisteme zate, organizacije i profesionalce koji
se bave zatom, tako da organizacije, proizvodi i profesionalci zate mogu bi ser-
kovani i akreditovani prema odreenom standardu. Standarde donose brojna meu-
narodna, akreditovana tela (tabela 2.2).
Tabela 2.2. Relevantna meunarodna tela za standardizaciju u oblas zate
Meunarodna standardizaciona tela u oblas zate informacija
BSI Brish Standards Instute
BSI (German) Bundesamt fuer Sicherheit in der Informaonstechnik
ISO Internaonal Organizaon for Standardizaon
IEC Internaonal Electrotechnical Commission
NIST (USA) Naonal Instute for Standards and Technology
U oblas bezbednos informacija, ISK/IEC su objavili najvie standarda od kojih je
najznaajnija tzv. serija ISK/IEC 27000, koja dosta lii na seriju standarda ISK 9000 za
kontrolu kvaliteta.
U oblas bezbednos informacija, ISK/EC su objavili najvie standarda od kojih je
najznaajnija tzv. serija ISK/IEC 27000, koja dosta lii na seriju standarda ISK 9000 za
kontrolu kvaliteta (Prilog 1).
Standarde zate informacija donosi Meunarodni tehniki komitet za standardiza-
ciju ISO/IEC JTC1/SC27, formiran 1990. (Sl. 2.2) [61].
Sl. 2.2. Organizaciona ema Tehnikog komiteta ISO/IEC JTC 1SC 27
35
BO FOO
Kbim poslova Komiteta su standardi za zatu informacija i IKTS, ukljuujui generike
metode, tehnike i uputstva, koji obuhvataju sve aspekte zate informacija i privatnos,
kao to su: metodologija za upravljanje bezbednosnim zahtevima; ISMS; kriptografski
i drugi mehanizmi zate; dokumentacija i terminologija zate; bezbednosni aspek
upravljanja identetom i zatom privatnos; metodologija i kriterijumi za evaluaciju
zate itd.
Komitet ima pet radnih grupa: WG1 za upravljanje zatom, WG2 za kriptografske
algoritme i druge mehanizme zate, WG3 kriterijumi za procenu/evaluaciju zate,
WG4 servisi i kontrole zate i WG5 tehnologije za zatu privatnos i upravljanje
identetom [12, 22, 24, 25, 26].
2.4. 4. Klasifikacija standarda zatite
Uobiajena klasikacija standarda zate je na eksterne i interne.
Eksterni (industrijski) standardi, tzv. standardi najbolje prakse zate su ire pri-
hvaeni i namenjeni (ali ne iskljuivo) za upravljanje sistemom zate, analizu rizika, obu-
ku, evaluaciju i serkaciju i akreditaciju sistema i proizvoda zate. Prednos u odnosu
na interne standarde su u tome to obezbeuju bolje tesranje proizvoda zate, lake
otkrivanje i bre ksiranje ranjivos i bru razmenu iskustva iz prakse zate. Nedostaci
su to ih periodino treba usaglaava sa kriterijumima za razvoj sistema zate (Sl. 2.3.)
[74].
Sl. 2.3 Klasikacija standarda zate
36
KO FOJ
Eksterni standardi su najee korieni u praksi zate i obuhvataju set irom sveta,
empirijski potvrenih principa zate [43, 48, 49, 50, 64]. Denicija najbolje prakse zate
informacija je kompleksna, raznolika i obuhvata vie izvora. Na meta nivou denie se
kao: Dokumentovane, pristupane, ekasne, odgovarajue i iroko prihvaene strate-
gije, planovi, takke, procesi, metodologije, akvnos i pristupi, razvijeni od strane
kompetentnih enteta i izvreni sa adekvatno obuenim personalom, koji su usklaeni
sa postojeim zakonima i regulavama, vremenom se potvrdili kroz istraivanje, evalu-
aciju i praksu kao efekvni u obezbeivanju zate na prihvatljivom nivou rizika i koji
se neprekidno revidiraju i poboljavaju u skladu sa promenama okruenja, tehnologija,
pretnji, organizacije i sl. [61]. Kvaj pristup (odozgo nadole) pomae u razumevanju
osnovnih i kljunih atributa generike, najbolje prakse i elemenata, vanih za zatu
informacija [21, 74].
Glavni ciljevi ovih standarda su da promoviu najbolju praksu zate, poboljaju nivo
bezbednos, smanje rizik na prihvatljiv nivo i pomognu dalji razvoj standarda. Za us-
postavljanje upravljivog poslovnog okruenja, gde se rizik mora dra pod kontrolom,
potrebno je, na bazi procene rizika, redenisa kontrole najbolje prakse zate i izabra
one koje daju najbolje rezultate, implemenra standard u sve faze ivotnog ciklusa i
upravlja promenama odrava efekvan i ekasan skup kontrola zate na bazi regu-
larne procene rizika. Implementacija standarda najbolje prakse zate pomae orga-
nizaciji: da se ukljui u meunarodno prihvaenu praksu zate, upravlja rizikom, izgra-
di poverenje drugih enteta, smanji tetne posledice glavnih incidenata, uspeno bori
prov kompjuterskog kriminala, usklauje praksu sa pravnim i normavnim zahtevima,
odrava konnuitet poslovanja i dr. Najbolja praksa zate pino se implemenra u
program IKTS zate uz podrku i akvnu saradnju menadmenta, administratora siste-
ma, administratora i tehnikog revizora zate [21, 43].
Glavni nedostatak je ne postojanje jedinstvenog modela najbolje prakse zate. Ra-
zlozi su brojni faktori, kao to su razlii ucaji nacionalnih zakona i pravnih okvira u
drugim zemljama, razliih i brojnih denicija najbolje prakse, veliki broj serkacionih
tela i dr. Do sada najpotpuniji model najbolje prakse zate nalazi se u priruniku Hie-
rarchy of Security [64].
Interni standardi ukljuuju specikacione i proceduralne standarde. Specikacioni
standardi deniu osnovnu zatu za datu konguraciju IKTS, na bazi teorije zate i
izbora kontrola osnovne zate (security baseline) iz kataloga kontrola za najbolju
praksu zate. Za izradu ovakvog standarda za vei, visoko distribuirani IKTS u Internet
okruenju, potrebno je oko est meseci rada. Kontrole osnovne zate moraju se u fazi
razvoja i implementacije dopuni na bazi analize i procene rizika sa kontrolama zate,
specinim za sistem i okruenje. Proceduralni interni standardi (upravljake i organiza-
ciono-operavne kontrole) su korisni mehanizmi za opisivanje procedura procesa za ad-
ministraciju i organizaciju prakse zate i ukljuuju samo vane korake bez tehnikih de-
talja. Uglavnom su generiki i nisu specini za plaormu raunarskog sistema. Tehniki
detalji se opisuju u tehnikoj dokumentaciji za ureaje/sisteme zate.
37
BO FOO
2.4.5. Prednosti i nedostaci standarda zatite
Ksnovne prednos standardizacije zate IKTS su [1,6,12, 27, 43]:
smanjenje kompleksnos upravljanja sistemom zate,
vea mogunost izbora i izrada standardne dokumentacije,
obezbeenje interoperabilnos razliih sistema zate,
formiranje baze znanja iz oblas zate,
nezamenljivi alat u procesima serkacije i akreditacije sistema zate,
obezbeuje osetljive metode i denie najbolju praksu zate.
Ksnovni nedostatak standardizacije zate je to ne postoji integralni standard za
upravljanje zatom, pa opte prihvaenog standarda za upravljanje sistemom zate
(ISMS standard ISK/IEC 27001), koji bi pored odgovora TA dao instrukcije i KAKO
to treba uradi u za (pa ISK/IEC 21827 ili SSE CMM System Security Engeneering
Capability Maturity Model, rev. 2008) [49]. Meum, zbog prirode koncepta zate,
verovatno je dobro da se takvi standardi nikada ne pojave.
Implementacija standarda i normavno usklaivanje, sami po sebi nisu dovoljni.
Ako su konzistentno primenjeni, standardi obezbeuju opmalne uslove za razvoj pro-
grama i projektovanje sistema zate, a normavno usklaivanje obezbeuje zatu
specinih i osetljivih informacija. U programu zate preporuuje se integracija in-
ternih i eksternih standarda najbolje prakse zate i usaglaavanje sa normavima, da
bi se izgradio sveobuhvatni okvir za merenje i evaluaciju procesa zate u organizaciji.
Lista relevantnih standarda zate data je u Prilogu 2.
2.5. NORMATIVNI OKVIR ZATITE
Normavni okvir obezbeuje znaajne funkcije osnovnog sloja zate, kao to su:
ise znaaj zate informacija na dravnom nivou, koncentrie resurse na stratekim
pravcima istraivanja i razvoja, zahteva obuku i obrazovanje, sankcionie zloupotrebe
zate, obavezuje na serkaciju i akreditaciju i dr. U normavnom okviru posebno
mesto imaju podzakonski pravni ak (npr. Pravilnici o uspostavljanju PKI (Public Key In-
frastructure), CA i digitalnog potpisa itd.) i standardi zate [37, 58, 77].
Na nivou svake drave uglavnom postoji Zakon o za informacija, koji obavezuje
pojedince i poslovne sisteme da te svoje informacije u e-okruenju, propisuju obave-
zan obim zate, od ega i kako privatnost korisnika i kakve su sankcije za povrede
sistema zate [75, 76]. Pored zakona o za informacija, na nivou drave potrebni su
i donose se brojni zakoni koji reguliu kompjuterski kriminal (Zakon o kompjuterskom
kriminalu, Zakon o digitalnom dokazu, Zakon o sudskom vetaenju u oblas IKT, Zakon
o formiranju CIRT i CERT tela i dr.) [13, 32].
38
KO FOJ
Globalni karakter kompjuterskog kriminala zahteva da se u razvoju programa zate
razmatraju usklaenost sa meunarodnim zakonima, regulavama i standardima, raz-
like pravosudnih sistema, ugovorne i obaveze o uvanju poslovnih tajni, zata privat-
nos i linih podataka.
U razvoj programa zate treba ukljui nacionalni zakonski okvir, koji regulie p
podataka kojima se pristupa, naine korienja, skladitenja ili procesiranja u IKTS orga-
nizacije i idenkova sve primenljive normavne zahteve. Globalizacija IKT i transna-
cionalna priroda kompjuterskog kriminala, zahtevaju usklaenost zakona, regulava i
standarda zate na meunarodnom nivou. Razlike u pravosudnim sistemima uu na
istragu transnacionalnog kompjuterskog kriminala. Takoe, legalni zahtevi dravnih or-
gana za zadravanje podataka, kao i za zatu privatnos u periodu njihovog zadravanja,
variraju od drave do drave. EU je usvojila Direkvu o privatnos i elektronskim komu-
nikacijama (25.07.2002.), zahtevajui od provajdera Internet servisa da u odreenom
periodu zadravaju podatke na svim e-komunikacijama. Autorska prava moraju bi
zaena na nain koji zadovoljava legalne zahteve. Poverljive i informacije o intelektu-
alnoj svojini, program zate mora na nain koji zadovoljava minimalne zahteve
zakona o za poverljivih informacija, da bi se moglo obezbedi zakonsko gonjenje
poinioca u pravosudnom sistemu gde je krivino delo izvreno.
U mnogim zemljama Zakon o borbi prov kompjuterskog kriminala je neadekvatan
i ne pokriva na is nain transnacionalni kriminal, koji se mora istraiva, dokaziva i
sankcionisa usaglaenim i standardizovanim procedurama i alama u svim ukljuenim
pravosudnim sistemima [1].
Ugovori i ugovori o neotkrivanju poslovnih tajni NDA (Non Disclose Agreement)
moraju na is nain trera vlaste i IKTS objekte druge ugovorne strane, to esto
nije sluaj. Krganizacije moraju ima eksplicitnu poliku i procedure zate koje zado-
voljavaju zahteve zakona o kompjuterskom kriminalu i neotkrivanju poslovnih tajni u
konkretnom pravosudnom sistemu.
Zata privatnos i linih podataka u brojnim pravosudnim sistemima, nije komple-
rana i usaglaena sa zakonima EU, uprkos velikom prisku javnos. Preporuke da se
privatnost i lini podaci te opm i tehnikim merama zate, ostavljaju prostor za
proizvoljnost i uvek su jeinije reenje za organizaciju, nego obavezna zata propisana
zakonom.
2.6. DOKUMENTACIJA ZATITE
U KKM metodoloka osnova programa zate je dokumentacija zate, koja se moe
klasikova ma internu i eksternu. Ksnovni zahtevi za dobru dokumentaciju zate
su da bude laka za upotrebu/odravanje, da sadri tane i aurne informacije, da je
odgovarajua za ciljne korisnike i da sadri samo relevantne i bitne informacije.
39
BO FOO
Bezbednost i zata informacija nisu staki elemen. Kd krinog znaaja je da
se revizija dokumenata zate vri najmanje jedanput godinje, a za operavnu zonu,
koja zahteva vei stepen zate, i ee. Revizija ukljuuje dokumenta zate, korekciju
otkrivenih ranjivos, usaglaavanje sa promenama standarda, normava, tehnologija i
okruenja, a esto i auriranje polike i procedura zate.
Glavne kategorije dokumentacije zate prikazane su na slici 2.4. [74]
Sl. 2.4. Klasikacija dokumentacije zate
Primeri dokumentacije zate prikazani su u tabeli 2.3.
Tabela 2.3. Primeri dokumentacije zate
Interna dokumentacija
Upravljaka dokumentacija ugovori, planovi, izvetaji, NDA itd.
Interne procedure za izvetavanje, reviziju izmena, administraciju itd.
Projektna dokumentacija za implementaciju skenera zate itd.
Tehnika dokumentacija ureaja zate, tehniki izvetaji, testovi i sl.
Ostala dokumenta materijal za obuku, dokumenta sa konferencija itd.
Eksternu dokumentaciju
Program zate programsku poliku na nivou organizacije
ISMS polika za upravljanje sistemom zate informacija
Industrijski standardi za upravljanje, obuku, nadzor i reviziju itd.
Uputstva za zatu za upravljanje VD, administraciju zate itd.
Radna dokumenta radne liste, uzorci, katalozi kontrola zate i dr.
40
KO FOJ
Uputstva zate ne uvode promene u upravljaki okvir, za razliku od standarda zate.
ine ih upravljaka i tehnika uputstva, koja daju detaljnije informacije o specinim pi-
tanjima zate. Radna dokumenta su namenjena za poveavanje razumevanja prakse
zate (grake prezentacije i ek liste, tehniki bilteni itd.).
2.7. REZIME
Konzistentni principi zate informacija su osnovni, gradivni elemen na kojima
se zasnivaju procesi zate. Opte prihvaeni principi zate (GAISP) usmeravaju me-
nadment na izvrnom nivou i pomau organizaciji da denie efekvnu strategiju
zate. Namenjeni za upravljanje sistemom zate, fundamentalni su i retko se menjaju.
GAISP principi obuhvataju tri kategorije - opte, funkcionalne i detaljne principe. Op
GAISP principi se odnose na upravljanje i sadre devet principa. Funkcionalni su gradivni
blokovi oph, a odnose se na operavno upravljanje i detaljnije deniu takku izgrad-
nje efekvne arhitekture sistema zate. Detaljni GAISP principi zate koriste funkcio-
nalne kao okvir, namenjeni su za profesionalce, a obezbeuju specino, sveobuhvatno
uputstvo za dnevne akvnos u procesu upravljanja rizikom i sistemom zate.
Standardi zate obezbeuju pravila za upravljanje sistemom zate, a mogu se izvo-
di iz normava, industrijske prakse ili iskustava. Primarni cilj standarda nije sama stan-
dardizacija, nego smanjenje kompleksnos sistema upravljanja zatom, mogunost
izbora standardne dokumentacije i obezbeenje interoperabilnos.
Eksterni industrijski standardi su brojni, na primer za upravljanje sistemom zate,
analizu rizika, obuku itd. Interni standardi, specini za organizaciju, predstavljaju jezgro
za formiranje okvira za upravljanje, dodaju vrednost poslovanju i pomau interpreta-
ciju polike zate. Dele se na specikacione i proceduralne. Standardi najbolje prakse
zate obezbeuju kontrole za osnovnu zatu. Za specinu organizaciju i okruenje,
ove kontrole je potrebno aurira na bazi procene rizika.
Normavni okvir obezbeuje pravni okvir i obavezu organizovanja i uspostavljanja
sistema zate informacija i sankcionisanja prekrioca; ise znaaj problemake zate
na najviem dravnom nivou; koncentrie resurse na najznaajnijim, stratekim pravci-
ma istraivanja; koordinira obuku i obrazovanje; obavezuje serkaciju i akreditaciju
sistema zate i dr.
Metodoloku osnovu programa zate ine interna i eksterna dokumentacija. Inte-
rna dokumentacija, u odnosu na sistem zate, obuhvata upravljaku dokumentaciju,
procedure, projektnu i tehniku dokumentaciju i ostala dokumenta. Eksterna dokume-
ntacija obuhvata poliku zate, industrijske standarde, uputstva za zatu i druga
radna dokumenta. Uputstva za zatu su precizne instrukcije za upravljanje sistemom
zate, koje ne obavezuju korisnike da ih striktno sprovode za razliku od zakona i standa-
rda zate.
41
BO FOO
Detaljni GAISP principi zate: gradivni blokovi
funkcionalnih principa, obezbeuju specina,
sveobuhvatna uputstva za dnevne akvnos u
procesima upravljanja zatom.
Eksterni standardi zate: nastaju izvan or-
ganizacije koja ih koris, ire su prihvaeni za
upravljanje sistemom zate i druge procese
zate.
Funkcionalni GAISP principi zate: detaljnije
deniu takku izgradnje efekvne arhitek-
ture sistema zate i ine gradivne blokove
oph principa.
GAISP principi zate: sveobuhvatna hijera-
rhija instrukcija za obezbeenje opte pri-
hvaenog, konzistentnog okvira za zatu info-
rmacija, koji mogu ima i izuzetke.
Interni standardi zate: specini su za orga-
nizaciju i dele se na specikacione i procedur-
alne; jezgro su za upravljanje sistemom zate
i dodaju vrednost IKTS.
Normavni okvir: zakoni i podzakonska akta
u oblas zate obezbeuju osnovni okvir za
iru implementaciju programa zate IKTS i
mehanizme sankcionisanja za nesprovoenje.
Op GAISP principi: namenjeni za upravlja-
nje sistemom zate, fundamentalni su, retko
se menjaju, a obuhvataju 9 principa za zatu
informacija.
Princip: fundamentalna isna, ili zakonitost
koja se uzima bez dokazivanja kao osnova za
izvravanje racionalne akvnos u procesu re-
alizacije nekog koncepta.
Proceduralni interni standardi: mehanizmi za
opisivanje procedura za administratore ili ko-
risnike zate; ukljuuju samo najvanije ko-
rake, bez tehnikih detalja i generiki su.
Specikacioni interni standardi: deniu op-
malan sistem osnovne zate za datu kongu-
raciju IKTS.
Standardi zate: obezbeuju pravila uprav-
ljanja sistemom zate, a mogu se izvodi iz
normava, industrijske prakse i iskustava.
1. Skup sistemskih principa zate predsta-
vlja obavezan okvir u koga se ugrauju
specini GAISP principi zate, a obuh-
vata:
a. nikad sam, rotacija radnih mesta, razd-
vajanje dunos, minimum privilegija
b. nikad sam, rotacija radnih mesta, razd-
vajanje dunos, minimum privilegija,
zna samo to je potrebno, principe
upravljanja IKT sistemom
c. uvek sam, rotacija radnih mesta,
razdvajanje dunos, zna samo to je
potrebno, minimum privilegija, principe
upravljanja IKT sistemom
d. to due na jednom radnom mestu, ob-
jedini to vie dunos radi smanjenja
kadrova, upravljanje zatom razdvoji
od upravljanja IKT sistemom
2. Isto lice ne moe istovremeno obavlja
sledee parove funkcija u IKTS:
a. operavni rad na raunaru programi-
ranje
b. unos i priprema podataka za obradu
uvanje elektronskih medija;
c. obrada podataka kontrola kvaliteta
IKTS
d. operavni rad na raunaru obrada
podataka
e. prijem osetljivih informacija predaja
osetljivih informacija
f. programiranje aplikacija kontrola
ovlaenja za pristup
g. programiranje aplikacija adminis-
tracija baza podataka
h. projektovanje, implementacije/modi-
kacija sistema zate programiranje
42
KO FOJ
3. Princip minimuma privilegija znai:
a. dava minimum pristupa objekma
IKTS
b. dava to je mogue manje privilegov-
anih prava pristupa objekma IKTS
c. dava pristup to manjem broju koris-
nika objekma IKTS
4. Sistemski princip nikad sam:
a. spreava monopolski poloaj
b. spreava samokontrolu u IKTS i sistemu
zate
c. obezbeuje samokontrolu u IKTS i
sistemu zate
d. zahteva zapoljavanje najmanje dva lica
na bezbednosno relevantno mesto
e. znai da ni jedan servis zate ne treba
da kontrolie samo jedan administrator
zate
5. Kpte prihvaene principe zate (GAISP)
mogu da koriste:
a. specijalis zate za razvoj sistema
zate
b. proizvoai u proizvodnji komponen i
ureaja zate
c. menaderi za razvoj i implementaciju
poslovnih procesa
d. proizvoai proizvoda zate u procesu
prodaje komponen/ureaja zate
e. vlasnici informacija i menaderi za
razvoj programa zate
6. Navedite koji principi spadaju u opte
GAISP principe zate:
a. princip sves o potrebi zate i odgovo-
rnos
b. princip stalnog preispivanja i ekog
ponaanja
c. princip povremenog preispivanja i
procene
d. princip proporcionalnos i dekom-
pozicije
e. princip muldisciplinarnos i dezinte-
gracije
7. Princip proporcionalnos znai da:
a. kontrole zate treba projektova,
implemenra i primenjiva za zatu
informacija proporcionalno proceni
rizika
b. kontrole zate treba projektova,
informacija proporcionalno zahtevima
korisnika
c. sistem zate treba projektova,
informacija proporcionalno zahtevu
vlasnika sistema
8 Detaljni principi zate namenjeni su:
a. vlasnicima sistema
b. izvrnim menaderima
c. specijalisma zate
9. Primarni cilj standarda zate je:
a. sama standardizacija zate
b. smanjenje kompleksnos zate
c. mogunost izbora i izrade standardne
dokumentacije
d. obezbeenje interoperabilnos sistema
zate
e. formiranje baze znanja iz oblas zate
10. Glavni ciljevi standarda najbolje prakse za-
te su:
a. promovisanje najbolje prakse zate
b. smanjenje nivoa bezbednos
c. smanjenje rizika na prihvatljiv nivo
d. omoguavanje daljeg razvoja meha-
nizam zate
11. Standard zate:
a. je usvojen i objavljen dokument
b. uspostavlja specikaciju i procedure
c. obezbeuje da dokumenta, materijali,
proizvodi, metodi ili servisi zate,
odgovaraju nameni i konzistentno
izvravaju saoptenja polike zate
d. sadri skup reenja za pokrivanje
specinih bezbednosnih zahteva za
odravanje rizika na prihvatljivom nivou
e. obezbeuje instrukcije za razvoj, imple-
mentaciju i odravanje IKTS
f. uvodi promene u upravljaki okvir
sistema zate
12. Standard ISK/IEC 27001 obezbeuje:
a. uputstvo za upravljanje i izbor kontrola
zate
b. standard za upravljanje sistemom
zate informacija
43
BO FOO
c. upravljake, operavne i tehnike kon-
trola zate
d. tehniki standard za specine
tehnologije i metriku za evaluaciju
zate
13. Generiki, hijerarhijski model standarda
zate ukljuuje:
a. principe, metodologiju, elemente stan-
darda, uputstvo, dodatke za primenu,
tehnike i alate
b. terminologiju, elemente standarda,
uputstvo, dodatke za primenu, tehnike i
alate
c. terminologiju, principe, metodologiju,
elemente standarda, uputstvo, dodatke
za primenu, tehnike i alate
d. terminologiju, principe, metodologiju,
elemente standarda, tehnike i alate
14. Standarde zate informacija donosi
tehniki komitet:
a. BSI
b. BSI (GERMAN)
c. ISK/IEC :TC1/SC27
d. NIST (USA)
e. ISK
15. Standardi zate se klasikuju na:
a. eksterne i interne
b. industrijske i organizacijske
c. specikacione i proceduralne
d. tehnike i proceduralne
16. Ksnovne karakteriske dobre dokument-
acije zate su:
a. laka za upotrebu/odravanje i sadri
tane i aurne informacije
b. to kraa i sa glavnim podacima,
odgovarajua za sve korisnike
c. sadri opte podatke iz vremena izrade
dokumentacije
d. odgovarajua za sve grupe korisnika,
sadri samo relevantne informacije
e. odgovarajua za ciljne korisnike i sadri
samo relevantne i bitne informacije
17. Interna dokumentacija zate ukljuuje:
a. upravljaku dokumentaciju i interne
procedure
b. program zate i ostalu dokumentaciju
(materijal za obuku, instrukcije)
c. poliku zate i industrijske standarde
d. projektnu dokumentaciju i tehniku
dokumentaciju
e. uputstva za zatu i radna dokumenta
(kontrolne liste, uzorci, katalozi, ...)
18. Eksterna dokumenta zate ukljuuju:
a. upravljaku dokumentaciju i interne
procedure
b. program zate i ostalu dokumentaciju
(materijal za obuku, instrukcije)
c. ISMS poliku zate i industrijske stan-
darde
d. projektnu dokumentaciju i tehniku
dokumentaciju
e. uputstva za zatu i radna dokumenta
(kontrolne liste, uzorci, katalozi...)
19. Ksnovne funkcije normava zate infor-
macija su:
a. ise znaaj zate informacija na
nivou organizacije
b. koncentrie resurse na takkom nivou
istraivanja i razvoja
c. zahteva obuku i obrazovanje,
sankcionie zloupotrebe
d. obavezuje na serkaciju i akreditaciju
20. Glavni atribu kvaliteta standarda zate
su:
a. dokumentovan, raspoloiv i sveobuh-
vatan
b. izdat od strane nacionalnog tela za
standardizaciju
c. adekvatan nameni, rentabilan, obavez-
no prihvaen
d. usaglaen sa zakonima i da obezbeuje
indikatore progresa
e. usaglaen sa polikom zate i da obez-
beuje indikatore progresa
44
KO FOJ
3.
METODOLOGIJE, MODELI I OKVIRI
SISTEMA ZATITE
3.1. UVOD
Metodologije i okviri zate IKTS uspostavljaju se u kontekstu organizacije na osnovu
internih ili ire prihvaenih industrijskih standarda. Metodologije i okviri se grupiu za-
jedno, najee kao upravljake kontrole i dodaju strukturu procesima zate.
Za razvoj i implementaciju sistema zate kljuni koncep su metodologija, tehno-
logija, praksa i odgovornos u za. Klasina metodologija za razvoj ivotnog ciklusa
IKTS SDLC (System Development Life Cycle) preuzeta je kao formalna metodologija i za
razvoj sistema zate [59]. Meum, ova ni bilo koja standardna metodologija, nisu po-
godne za veinu razvojnih projekata savremenih IKTS (npr. za e-poslovanje i podsisteme
zate), koji se razlikuju od klasinih po distribuciji servisa, brzini promena okruenja
i tehnologija, pa zahtevaju nove pristupe procesima projektovanja i razvoja. U praksi
zate malo je verovatno da e se primenjena metodologija podudari sa bilo kojom
poznatom. Kbino projektant izabere metodologiju koja najvie odgovara, a zam kreira
sopstvenu, kombinujui poznate metodologije.
Metodologije za razvoj tradicionalnih IKTS (SDLC, vodopada, brzog odziva itd.), razvi-
jane su za razliita okruenja i ne mogu se lako prene u web okruenje sa enormnim
porastom rizika. Za zatu web aplikacija od presudnog znaaja je pouzdano upravljanje
kvalitetom sistema zate web aplikacija gde je primenljiva, na primer, metodologija
vektora zate, koja kombinuje standarde ISO/IEC 15408, ISO/IEC 27001 i ISO/IEC 21827
[45, 50, 49].
3.2. METODOLOKI OKVIRI ZA RAZVOJ SISTEMA ZATITE
Dugoroni okvir za razvoj sistema zate obezbeuje strategija zate. Koncept
strategije zate ukljuuje presek stanja sistema zate, viziju eljenog bezbednosnog
45
BO FOO
stanja, inicijave za doszanje tog stanja, sistem indikatora za praenje progresa i akci-
oni plan za izvravanje stratekog cilja (Sl. 3.1).
Sl. 3.1. Strategija bezbednos IKTS u funkciji sistema zate
Razvoj i implementacija sistema zate obuhvata eri kljuna koncepta: meto-
dologiju, tehnologiju, operavnu praksu i odgovornos (Tabela 3.1).
Tabela 3.1. Kljuni koncep za razvoj sistema zate
Koncep Primeri realizacije
Metodologija
Principi: GAISP (sveobuhvatnost, integralnost, modularnost ...).
Modeli: IKTS, procesa, arhitekture sistema zate itd.
Metodi: kvantavni, kvalitavni; primena standarda najbolje prakse.
Razvoj procesa: projektnoprocesni i SE pristup; plan zate
Tehnologija
Ala i tehnike: hardverskosoverski; manuelne, polu-automatske
tehnike.
Tehnike kontrole: hardversko/soverski mehanizmi i protokoli.
Praksa zate Operavne kontrole: akvnos proceduralne zate.
Kdgovornost Upravljake kontrole: pripisivanje odgovornos za zatu.
Metodologije i okviri u oblas zate razvijaju se na bazi internih i/ili opte
prihvaenih industrijskih standarda. Kba konteksta su jednako znaajna. Primeri meto-
dologija i okvira zate su brojni [44, 49, 63, 74].
Kada neka organizacija primeni metodoloki okvir na odreeni projekat zate,
razmatrajui sve organizacione, projektne i mske varijable, malo je verovatno da e
se okvir potpuno podudari sa bilo kojom poznatom metodologijom za razvoj IKTS.
Savremeni IKTS za e-poslovanje, web servise u distribuiranom Internet raunarstvu
CC (Cloud Compung) i sistemi njihove zate, zahtevaju veu panju za razvoj interfe-
jsa ovekmaina za automazaciju upravljanja, veu potrebu za mskim radom i nove
pristupe procesima projektovanja i razvoja.
46
KO FOJ
Svaka metodologija u potpunos je odreena denisanjem: principa, koncepata,
metoda i toka razvoja procesa zate. Principi su aksiomatske, fundamentalne isne, ili
relavno nepromenljive zakonitos koje se uzimaju kao osnova za izvravanje raciona-
lne akvnos u procesu realizacije nekog koncepta. U oblas zate usvojeni su GAISP
principi. Koncept zate, najee model, priblina je aproksimacija realnog sistema
zate, kojim se denie razumevanje osnovnih funkcionalnos ili strukturnih elemena-
ta organizacije zate. U praksi zate, najee upotrebljavani modeli su funkcionalni,
strukturni i objektnoorijensani, a koncep reakvnog i proakvnog sistema zate.
Detaljan pregled primenljivih modela u oblas zate, moe se nai u literaturi [6, 10,
25, 34].
U razvoju sistema zate generalno se koriste tri mogue metodologije, koje kao
upravljaki okvir koriste [74]: (1) poliku zate, (2) procenu rizika, (3) standarde na-
jbolje prakse zate i njihove kombinacije. Primenjene pojedinano, ove metodologije
obezbeuju koncept klasinog, reakvnog sistema zate, ili zate od poznah na-
pada. Kombinovane, namenjene za najvii nivo (idealne) zate i univerzalne pove
organizacija, poslovnog okruenja i prola rizika, obezbeuju zatu od poznah i nep-
oznah pretnji (tzv. proakvnu zatu). Metodologija na bazi standarda najbolje prakse
zate ne uzima u obzir realno stanje konkretne organizacije, pa za jednu organizaciju
moe bi idealna, a za drugu redundantna ili ne-efekvna. Kva metodologija daje dobre
rezultate u kombinaciji sa aurnom polikom zate i regularnom procenom rizika, koja
obezbeuje neophodne konkretne informacije za opmalnu zatu.
Tehnologije zate (tehnike i ala) su hardversko soverski mehanizmi i protokoli
implemenrani u sistem zate. Pod alama zate se u irem smislu podrazumevaju
proceduralne (upravljake i operavne) i tehnike kontrole (hardversko-soverski me-
hanizmi i protokoli) zate. Ala su sredstva za realizaciju koncepata zate, a metodi
primene alata ukljuuju tehnike zate, koje su dokumentovane obino u tehnikoj do-
kumentaciji ureaja za zatu.
Procesni razvoj sistema zate zahteva poznavanje, planiranje, formalni opis,
denisanje, kontrolu, evaluaciju i poboljavanje procesa zate. U metodologiji sistem-
skog inenjerstva (SE) proces je skup ljudi, sredstava i povezanih akvnos, usmerenih
za poszanje nekog jedinstvenog cilja; proces ima svoj poetak i kraj, a u kontekstu
sistema zate moe se ciklino neprekidno ponavlja (npr. nadzor i revizija, obuka i
edukacija). Redosled izvravanja akvnos u procesu zate deniu procedure zate,
koje dokumentuju procese zate. Proces zate je i transformator ulaznih veliina u
sistem zate u, oekivano, vee izlazne veliine i integrator kljunih atributa posla:
ljudi, tehnologija i metoda za izvravanje zadataka [86].
Projekat zate ukljuuje proces/skup procesa usmerenih na izvravanje zajednikih
zadataka i poszanje jedinstvenog bezbednosnog cilja, ograniene resurse za realizaciju
(m, vreme, sredstva) i njihove meusobne veze. Zbog kompleksnos savremenih IKTS,
strateke inicijave zate retko se implemenraju kroz jedan projekat. Kbino se razvoj
sistema zate razbija na manje projekte, koji se mogu izvri za tri do est meseci, sa
47
BO FOO
relavno manjim budetom i koji se implemenraju prema prioritema utvrenim na
bazi bezbednosnih zahteva i procene rizika [74].
3.3. MODELOVANJE SISTEMA ZATITE
3.3.1. Strukturni modeli distribuiranog IKT sistema
Model je apstrakcija realnog sistema, a koris se za pojednostavljenu prezentaciju
problema kojeg treba rei. Postoje eri generika pa modela: ziki (npr. automo-
bila), naravni (npr. pisani i tekstualni), graki (npr. arhitektura sistema) i matemaki
(formalni za krine i skupe procese). U modelovanju IKTS i sistema zate koriste se
naravni (najee funkcionalni), graki i matemaki modeli. Namena svakog mod-
elovanja je da smanji kompleksnost sistema. U modelovanju sistema zate preuze su i
koriste se svi klasini modeli za modelovanje IKTS: linearni (ivotnog ciklusa, vodopada),
iteravni, sa brzim odzivom itd. Zbog kompleksnos IKTS i sistema zate, u projekto-
vanju i razvoju sistema zate najbolje rezultate pokazuju strukturni i objektno orijen-
sani modeli (KKM).
Strukturni model zaenog (bezbednog) IKTS sadri tri glavne komponente: (1) skup
pasivnih i akvnih objekata, kojima se pristupa na kontrolisan nain, (2) skup akvnih
subjekata, koji koriste i pristupaju objekma i (3) skup pravila na osnovu kojih subjek
koriste i pristupaju objekma. Strukturni modeli koriste princip dekompozicije objekata
IKTS na skupove, prema denisanim kriterijumima (jedinstveni bezbednosni ciljevi, je-
dinstvene funkcije itd.), a odbacuju nebitne komponente i tako smanjuju kompleksnost
sistema. U sledeim primerima da su neki povi primene strukturnih modela [81].
Primer 1: Strukturni model visoko distribuiranih zaenih IKTS KSI modela, obuhvata
sledee bezbednosno relevantne grupe dekomponovanih objekata, koji se, sa svoje strane,
mogu po potrebi dalje dekomponova na: lokalnu mreu, kanale i sredstva veze, komuta-
cione ureaje, centar za obradu informacija, udaljene pristupe, legalne i nelegalne koris-
nike sistema, nosioce informacija (magnetne, opke i dr.), izdvojene radne stanice i tehniku
bekapovanja [21].
Primer 2: U modelovanju mehanizma logike kontrole pristupa, u odreenom vremenskom
trenutku svi povi korienja i pristupa subjekata (S) objekma sistema (O) ine bezbedno
stanje sistema. Model denie bezbedno stanje sistema matricom pristupa (M) koju ine:
(redovi subjek (S), kolone objek (O) i elije matrice atribu prava pristupa (A) za
korienje O od strane S.
Dakle, elije matrice se mogu denisa sa:
( , ) M S O A
,
to znai da subjekat S ima prava pristupa i korienja pa A na objektu O.
48
KO FOJ
Svakom O u sistemu pridruuje se referentni monitor, poseban kontrolni program
koji kontrolie pristup do tog O na sledei nain:
subjekat S zahteva pristup do objekta O na nain a,
operavni sistem kreira trojku (S,O,a) i dostavlja je programu referentnog moni-
tora za objekat O,
monitor uporeuje atribute pristupa A(S,O) iz matrice pristupa, primenjujui
zahtev a,
ako je a jedan od atributa, pristup je dozvoljen, ako ne odbija se.
Primer 3: strukturno modelovanje arhitekture sistema zate RM smanjuje kompleksnos
u eri koraka:
1. Korak: Analiza mrenog plana i uklanjanje svake informacije, koja nije neophodna
za sistem osnovne zate, vri se kroz procedure za pripremu i reviziju plana topologije,
redukciju kompleksnos idenkovanjem grupa slinih objekata i skupljanje informacija o
IKTS. Uloga modelovanja sistema osnovne zate IKTS u procesu razvoja sistema zate
prikazana je na Sl. 3.2. [6].
Sl. 3.2. Izlaz modelovanja sistema osnovne zate IKTS
2. Korak: Auriranje mrenog plana ili delova plana, sa stvarnim stanjem topologije RM i
kombinovanje idennih komponen u jednu grupu, koja se u strukturnom modelu pred-
stavlja jednim objektom. Komponente RM mogu bi grupisane u istu grupu ako su sve istog
pa i imaju idenne ili skoro idenne osnovne konguracije, povezane u mrei na is
ili skorio is nain (npr. na is komutator), nalaze se u ism administravnim, infrastruk-
turnim i bezbednosnim uslovima, koriste iste aplikacije itd. Ako su ovi uslovi ispunjeni onda
uzorak jedne grupe moe bi predstavnik bezbednosnog stanja grupe u celini. Najznaajniji
momenat u grupisanju objekata IKTS je grupisanje servera i klijentskih raunara. Kbino u
organizaciji postoji veliki broj raunara, koji se moe smanji na upravljiv broj grupa, ako se
sledi navedena procedura. Kada se grupisanje svih komponen RM izvri, svaka grupa je je-
dinstvena zona bezbednos, koja se u planu predstavlja sa po jednim objektom za zatu.
49
BO FOO
3. Korak: Denisanje kategorija bezbednosnih ciljeva za svaku zonu na bazi zajednikih
pretnji. Gubici koji mogu nasta, zbog gubitka CIA informacija, pino se mogu grupisa u
sledee scenarije pretnji [6]: povreda zakona, regulava ili ugovora, gubljenje ili smanjenje
tanos informacija, zike povrede, gubljenje ili slabljenje radnih rezultata, negavni efek
na ugled organizacije i nansijske posledice. esto jedan sluaj moe ukljui nekoliko kat-
egorija gubitaka. Na primer, pad aplikacije moe sprei da se izvri bitan poslovni zadatak,
izazva nansijski gubitak i gubitak ugleda. Da bi se povukle jasne granice izmeu katego-
rija bezbednosnih ciljeva nizak, srednji, visok (ili druge sline granulacije), treba denisa
gornje i donje granice za svaki individualni scenario pretnji.
4. Korak: Grupisanje ish ili slinih kategorija bezbednosnih zahteva u zajednike zone bez-
bednos sa ism bezbednosnim ciljem, radi smanjenja kompleksnos. Zam se jedinstveno
opisuje svaki p objekta u svakoj bezbednosnoj zoni i formira matrica koja sumira tokove
vanih podataka izmeu zona. Glavne prednos denisanja bezbednosnih zona su sman-
jenje kompleksnos IKTS za sve aspekte zate, pojednostavljenje dijaloga sa upravom i
grupisanje sistema/objekata sa slinim bezbednosnim zahtevima (Prilog 3) [74].
U klasinom objektnom pristupu, strukturno modelovanje je zastarelo najmanje iz
dva razloga: (1) podele na akvne (subjekte) i pasivne (objekte) i (2) to se svaki pro-
gram (metod) realizuje od strane konkretnog korisnika. Realizacija objekta je sloena,
jer objekat ispunjavanja volju korisnika i uvek se moe smatra da korisnik direktno ili
indirektno na svoj rizik zahteva od nekog objekta odreeni servis.
U tradicionalnom pristupu za vaan zahtev je bezbednost ponovljenog korienja
objekata (pasivnih nosilaca informacija, kao to su dinamike memorije itd.), to je u
koniktu sa fundamentalnim principom dekompozicije objekata. Takav objekat nije
mogue sanira metodom prepisivanja (naizmeninih 0 i 1), osim ako sam ne sadri
odgovarajui metod. Ukoliko takav metod postoji, pouzdanost ienja memorije zavisi
od korektnos njegove realizacije. Ksnovni problem strukturnog pristupa je u tome to
nije primenljiv u ranoj fazi analize i modelovanja, kada se do algoritma i funkcije dekom-
pozicije jo nije sglo. Zato je nuno uves model ireg spektra KKM, koji nema
takve konceptualne razlike sa realnim sistemima, a moe se primenjiva u svim fazama
razvoja kompleksnih sistema [21].
3.3.2. Objektno orijentisano modelovanje sistema zatite
Znanja i iskustva iz KKM, na kojem se zasniva projektovanje savremenih IKTS i pred-
stavlja isproban SE metod za smanjivanje kompleksnos sistema, slabije se koriste u
oblas zate informacija. Svaki racionalan metod za smanjenje kompleksnos prime-
njuje princip dekompozicije u manji broj relavno nezavisnih objekata sa minimalnim
brojem njihovih veza. KKM koris dekompoziciju strukture IKTS na objekte, tj. ponaanje
sistema opisuje se terminima meusobnih dejstava objekata, pri emu nema pasivnih,
50
KO FOJ
ve su svi objek akvni, a po potrebi izazivaju naine ponaanja jedan drugoga. Detalji
realizacije h ponaanja su skriveni (inkapsulirani), a povezivanje objekata dostupno
je samo interfejsu. Za razumevanje pojma objekta IKTS zahteva se razumevanje klasi-
kacije i kategorizacije objekata i uvoenje pojma klase objekata. Generiki, klasikacija
bilo kojih objekata mora da ima sledee atribute [81]:
meusobnu iskljuivost: spreava preklapanja ili klasikaciju u jednu kategoriju;
potpunost: unija svih kategorija obuhvata sve mogue klasikacije;
nedvosmislenost: svaka klasikacija mora bi jasna i precizna;
ponovljivost: svaki proces klasikacije mora bi ponovljiv da daje is rezultat;
prihvatljivost: svaka klasikacija mora bi logina i intuivna;
primenljivost: klasikacija mora bi primenljiva u razliim oblasma.
U kontekstu sistema zate, pod bezbednosnom kategorizacijom podrazumeva
se klasikacija objekata IKTS u kategorije sa ism bezbednosnim ciljevima, na koje se
mogu primeni svi navedeni atribu klasikacije. Bezbednosna klasikacija informacija
se odnosi na bezbednosne nivoe informacija (npr. interne, poverljive, strogo poverljive,
dravna tajna) [25, 61].
Klasa je apstrakcija skupa stvarnih karakteriska realnog sveta, objedinjenih je-
dnakom optom strukturom i ponaanjem. Objekat je elemenat klase, tj. apstrakci-
ja odreene stvarnos. Kbjek su akvni elemen, koji imaju unutranju strukturu
i nain ponaanja, koji se opisuje tzv. metodom objekta. Na primer, moe se odredi
klasa korisnika, koja oznaava op pojam korisnika sa opm korisnikim podacima
i metodama ponaanja, a zam objekat korisnik XY sa odgovarajuim konkretnim
podacima i mogue posebnim nainom ponaanja. Znaajni pojmovi KKM zate su
inkapsulacija, nasleivanje, polimorzam, grane objekta, nivo dekompozicije, kompo-
nente objekta i kontejner [21].
Inkapsulacija komponen objekta, osnovni instrument smanjenja kompleksnos
sistema, podrazumeva skraivanje unutranje strukture objekta, detalja realizaci-
je i metoda ponaanja i smanjivanje sloenos realizacije, odravajui vidljivim
samo znaajne interfejse na datom nivou aproksimacije.
Nasleivanje je formiranje nove klase objekata na osnovu postojee, sa mo-
gunou dodavanja ili ponovnog odreivanja podataka i naina ponaanja.
Doputa razvoj komponen u ranoj fazi razvoja sistema, ne naruavajui integritet
sloenog objekta. Vaan je faktor smanjenja mulplikavnih elemenata realnog
sistema, gde se opta informacija ne duplira, nego se samo ukazuje na postojee
promene, ime klasa-potomak postaje koren nove klase-naslednika.
Polimorzam je sposobnost objekta da se svrsta u vie od jedne klase, to zavisi
od aspekta i kriterijuma posmatranja objekta i omoguava grupisanje objekata sa
slinim karakteriskama. Vano je uoi da nasleivanje i polimorzam zajedno,
omoguavaju modularnu nadogradnju KKM.
51
BO FOO
Grane objekta su relavno nezavisne karakteriske realnog objekta, koje smanju-
ju kompleksnost zate i bolje od polimorzma omoguavaju raznolikost aspeka-
ta apstrakcije i posmatranja objekata. Za struktuiranje bezbednosnog cilja razvoja
integrisanog sistema zate informacija i smanjenje kompleksnos, uvode se sk-
upovi grana objekata:
grane informacionih objekata: raspoloivost, integritet i poverljivost informacija
(CIA), koje moemo smatra relavno nezavisnim i, ako su sve tri obezbeene,
smatra se da je obezbeen i zaen IKTS i
grane objekata sistema zate: upravljake, organizaciono-operavne i tehnike
kontrole zate.
Kbe grane objekata razmatraju se sa razliim nivoima detalja. Zakoni, normavi i
standardi odnose se na sve subjekte u informacionom okruenju, dok se administra-
vne mere odnose na sve subjekte u predmetnoj organizaciji. Proceduralne mere se
odnose na pojedince ili grupe korisnika ljudi u okviru IKTS, a hardversko-soverske
na tehnike mehanizme i protokole zate. Prelaskom sa jednog na drugi nivo zate pri-
menjuje se karakteriska nasleivanja svaki sledei nivo se ne menja, nego dopunjuje
sa prethodnim nivoom zate, to omoguava koncept slojevitos zate i polimorzam
(npr. subjek u razliim ulogama administratori zate, obini korisnici...).
Na ove relavno nezavisne grane deluje i princip inkapsulacije, to sunski oznaava
da je svaka grana relavno nezavisna. Kva dva skupa grana moemo nazva ortogonal-
nim, poto za ksnu granu u jednom skupu (na primer, raspoloivost), treba razmatra
sve elemente iz drugih skupova (proceduralnih i tehnikih kontrola). Dva ortogonalna
skupa sa brojem elemenata od tri daje osam kombinacija ortogonalnih skupova, to je
jo uvek prihvatljiv nivo kompleksnos.
Nivo dekompozicije je vaan, ne samo za vizuelizaciju, nego i za sistemsku analizu
sloenih objekata, predstavljenu u hijerarhijskoj formi. Koncept dekompozicije
je jednostavan: ako se tekui nivo hijerarhije razmatra sa nivoom detalja n>0,
sledei se razmatra sa nivoom detalja (n1); objekat sa nivoom detalja 0 smatra
se atomizovanim (nedeljivim); nivoi detalja variraju za objekte i za grane objekta.
Komponenta objekta se moe denisa kao viestruko korieni sastavni ele-
menat objekta, koji ima sve karakteriske KKM.
Kontejner sadri vie komponen i formira op kontekst meudejstava sa drugim
komponentama i okruenjem. :edan kontejner moe ima ulogu komponente
drugog kontejnera. Pojmovima komponente i kontejnera mogu se na sunski
nain predstavi istovremeno sistem zate i objek IKTS koji se te, posebno,
pojam kontejnera moe odredi granice zone zate (perimetar ili domen zate).
52
KO FOJ
3.4. REZIME
Strategija zate obezbeuje okvir za razvoj sistema zate za dugorone bezbe-
dnosne ciljeve. Razvoj i implementacija programa i sistema zate ukljuuju koncepte
metodologije, tehnologije, operavne prakse i odgovornos u za.
Metodologije i okviri u oblas zate se grupiu zajedno, najee kao upravljake
kontrole, poto dodaju strukturu procesima zate, a uspostavljaju se na osnovu in-
ternih i eksternih (industrijskih) standarda. Kba konteksta su jednako znaajna. Svaka
metodologija u potpunos je odreena, denisanjem principa, modela, metoda upo-
trebe i toka razvoja procesa.
Kpta metodologija za razvoj sistema zate generalno koris: poliku zate, pro-
cenu rizika, standarde najbolje prakse zate i njihove kombinacije. Za razvoj sistema
zate mogu se koris brojni klasini modeli za projektovanje IKTS i procenu rizika
(SDLC, vodopada, sa brzim odzivom i dr.), ali bolje rezultate daju strukturni i OOM, ija
je osnovna prednost smanjenje kompleksnos.
Strukturni model u kojem subjek izvravaju dozvoljene akvnos nad objekma
sistema, prove se algoritamskoj dekompoziciji, kojom se sistem deli na funkcionalne
objekte i prikazuje funkcionalnim modelom. Ksnovni problem strukturnog pristupa je
to nije primenljiv u ranoj fazi analize, kada se do algoritma i funkcije dekompozicije jo
nije sglo. Takve zahteve zadovoljava OOM, koji nema konceptualne razlike sa realnim
sistemima i moe se primenjiva u svim fazama razvoja kompleksnih sistema.
OOM karakteriu inkapsulacija, nasleivanje i polimorzam. Za struktuiranje bezbe-
dnosnog cilja razvoja integrisanog sistema i smanjenje kompleksnos zate informaci-
ja, uvode se grane informacionih objekata (CIA), a za struktuiranje sredstva za poszanje
tog cilja grane objekata sistema zate (U,K,T kontrole).
Metodologija: nauka o metodama; sistem
organizovanja principa, modela (koncepata),
metoda, tehnika i alata, toka procesa (redos-
leda akvnos) i kontrola razvoja procesa.
Model: aproksimacija realnog sistema, koja
najpriblinije predstavlja tokove procesa, fu-
nkcionisanje i/ili druge relevantne atribute
realnog sistema.
Objekat zate: ziki/logiki objek informa-
cione imovine, koji se te implemenranim
sistemom zate.
Okvir: ambijent u kojem se neto reava (za-
konski, normavni, metodoloki).
Pouzdanost: funkcionalno-operavna, eni-
ka mera korektnog funkcionisanja u propi-
sanim granicama komponen, ureaja, podsi-
stema i sistema u operavnom radu.
Procedura: denisan i uspostavljen nain rada
i odvijanja procesa korak po korak.
53
BO FOO
1. Metodologije i okviri su:
a. upravljake kontrole koje dodaju struk-
turu procesima zate
b. grupiu se zajedno, najee kao
upravljake kontrole
c. grupiu se zajedno, najee kao opera-
vne kontrole
d. razvijaju se na bazi internih i/ili opte
prihvaenih industrijskih standarda
e. uspostavljaju se u kontekstu organizaci-
je za svaki projekat zate
2. Strategija zate:
a. obezbeuje okvir za kratkorone bez-
bednosne ciljeve sistema zate
b. sadri konsolidovanu viziju tekueg i
eljenog bezbednosnog stanja sistema
c. ukljuuje indikatore za praenje pro-
gresa i presek stanja sistema zate
d. ukljuuje akcioni plan za izvravanje
takkih ciljeva zate
3. Za razvoj programa i sistema zate, gener-
alno se koriste metodologije na bazi:
a. polike zate
b. SDLC (razvoja ivotnog ciklusa)
c. upravljanja rizikom
d. najbolje prakse zate
e. ISO/IEC 21827 i ISO/IEC 27001
4. Standardne metodologije i okviri zate
odgovaraju:
a. u potpunos za projektovanje savre-
menih IKTS sistema
b. u potpunos za projektovanje sistema
za e-poslovanja i Cloud Compung
c. samo ako su kombinovani i prilagoeni
kontekstu i okruenju organizacije
d. samo ako su usaglaeni sa normavima
zate
5. Ksnovne komponente strukturnog modela
bezbednog IKTS su:
a. skup pasivnih i akvnih objekata, ko-
jima se pristupa na kontrolisan nain
b. skup akvnih subjekata, koji koriste i
pristupaju objekma
c. skup pravila na osnovu kojih subjek
koriste i pristupaju objekma
d. skup akvnih objekata, koji koriste i
pristupaju objekma IKTS
e. skup objekata ije se ponaanje opisuje
njihovim meusobnim dejstvima
6. Ksnovni koraci u procesu strukturnog mo-
delovanja IKTS i sistema zate su:
a. analiza i auriranje topologije mrenog
plana i grupisanje komponen istog
pa u istu grupu
b. analiza plana zate, auriranje to-
pologije mrenog plana i odreivanje
zona bezbednos,
c. odreivanje trokova zate i grupisa-
nje komponen istog pa u istu grupu
d. grupisanje ish/slinih kategorija bez-
bednosnih zahteva u zajednike zone
bezbednos
e. denisanje kategorija bezbednosnih
zahteva/ciljeva za svaku zonu
7. Grane informacionih objekata u KKM
sistema zate obuhvataju:
a. raspoloivost, poverljivost, integritet i
autenkaciju
b. upravljake kontrole, raspoloivost,
poverljivost, integritet i autenkacija
c. upravljake, tehnike i organizaciono
operavne kontrole
d. raspoloivost, poverljivost, integritet
8. Grane objekata za zatu u KKM sistema
zate obuhvataju:
a. raspoloivost, poverljivost, integritet i
autenkacija
b. upravljake kontrole, raspoloivost,
poverljivost, integritet i autenkacija
c. upravljake, tehnike i organizaciono
operavne kontrole
d. raspoloivost, poverljivost i integritet
9. Strukturna svojstva KKM su::
a. inkapsulacija, nasleivanje, polimor-
zam, grane objekta, nivo dekompozici-
je, komponente objekta i kontejner
zate
b. inkapsulacija, polimorzam, grane
objekta, nivo dekompozicije i kontejner
zate
c. inkapsulacija, nasleivanje, polimor-
zam, grane objekta, komponente
d. objekta i denisanje programa zate
10. Procesni razvoj sistema zate zahteva:
a. neformalni opis procesa zate
b. denisanje procesa zate
c. kontrolu i poboljavanje procesa zate
d. formalni opis procesa zate
54
KO FOJ
4.
KONCEPTI SISTEMA I KONTROLE ZATITE
4.1. UVOD
Misija sistema zate je da odrava bezbednosno stanje informacija i IKTS na pri-
hvatljivom nivou rizika. U praksi se zahteva izbalansirana i komplementarna zata, u
kojoj se manje ekasne i efekvne kontrole zamenjuju sa ekasnijim i efekvnijim, a
tehnike dopunjuju sa proceduralnim kontrolama.
Primena samo tehnikih kontrola predstavlja parcijalno reenje reakvne zate ili
popravku sistema od poznah ranjivos i pretnji. Prema podacima NISTa (2008),
oko 99% svih registrovanih upada u IKTS, rezultat su korienja poznah ranjivos KS
ili greaka konguracije, za koje su bile na raspolaganju kontrole zate, ali nisu imple-
menrane. Kvo, kao i sluajni karakter ucaja dinamiki promenljivih i kombinovanih
pretnji na informacionu imovinu i poslovanje, zahtevaju proakvnu zatu od poznah
i nepoznah ranjivos i pretnji.
Cilj denisanja koncepta kontrola zate je da se, na osnovu rezultata procene rizika,
obezbede skupovi skalabilnih upravljakih (U), operavnih (O) i tehnikih (T) kontrola za
osnovni, poboljani i visoki nivo zate.
4.2. KONCEPT SISTEMA REAKTIVNE ZATITE
4.2.1. Sistem reaktivne zatite
Koncept reakvne zate je zata od poznah ranjivos i pretnji. Sistem reakvne
zate u veini sluajeva kasni, a nove soscirane tehnike napada ine nekorisnim
prethodno aurirane denicije virusa u AVP. Reakvna zata je pina za veinu IDS
sistema, ali ne i za savremene IDPS sisteme [87].
55
BO FOO
U praksi se najee dogaa incident koji nije planiran i za kojeg se misli da se nikada
nee dogodi. Sistem zate se vrlo esto razvija neplanirano, kao reakcija na poslednji
napad ili vanredni dogaaj (VD), ili neusklaeno sa procenom rizika i potrebama, ime
se stvara redundantan i skup reakvni sistem zate. Takoe, primena samo T kontrola
predstavlja parcijalno reenje reakvne zate, gde popravljeni sistem ostaje sa ranji-
vosma. Ipak, u sistemu reakvne zate brojne akvnos imaju proakvni karakter,
kao to su odluka menadmenta za uvoenje sistema zate, primena nekog metoda
za procenu rizika, izbor opmalnih kontrola, razvoj sves o potrebi zate, podrka
menadmenta i dr. [61].
4.2.1.1. Funkcionalni model reaktivne zatite
&unkcionalni model (Sl 4.1) sistema reakvne zate sadri sledee glavne faze: ide-
nkaciju stanja zate, procenu rizika, planiranje i implementaciju poboljanih kontro-
la zate, operavno odravanje, nadzor, reviziju, obuku i obrazovanje [61].
Sl. 4.1. &unkcionalni model sistema reakvne zate
Kp funkcionalni modeli upravljanja sistemom reakvne zate moe se denisa
na vie naina i sa razliih aspekata. Sa metodolokog aspekta, upravljanje sistemom
reakvne zate najbolje se moe predstavi procesom upravljanja rizikom u IKTS, koji
obuhvata faze planiranja, izbora T kontrola, modela zate, razvoja/akvizicije i selekcije
kontrola i izrade uputstva za upravljanje rizikom/sistemom zate [63].
Upravljanje sistemom reakvne zate u RM KSI (Open System Interchange) modela,
mora odraava sva saoptenja polike zate. Ente koji su obuhvaeni jedinstvenom
56
KO FOJ
polikom zate, u sistemu kojeg administrira jedan autoritet, organizuju se u jedinstveni
domen zate. Primeri procesa upravljanja sistemom zate su distribucija kriptografskih
kljueva, izvetavanje o incidentu, akviranje/dezakviranje servisa zate, implementa-
cija polike zate i sl.
Baza podataka zate (BPZ) je skladite svih relevantnih informacija za upravljanje
sistemom vieslojne zate. Svaki krajnji sistem treba da sadri lokalne informacije za
primenu polike zate. Najee je BPZ distribuirana, u meri neophodnoj da se primeni
konzistentna polika zate u krajnjim sistemima. U praksi zate, delovi BPZ mogu,
ali ne moraju, bi integrisani u bazu podataka IKTS. BPZ se moe realizova kao rela-
ciona baza podataka i datoteka ili sa pravilima unutar sovera ili hardvera realnog KSI
sistema.
4.2.1.2. Ocena kvaliteta sistema reaktivne zatite
U sistemu reakvne zate, organizacije u Internet okruenju pino primenjuju tri
mogua, u suni reakvna, reenja i to da: (1) ne preduzimaju nita, (2) primenjuju ma-
nuelne ili poluautomazovane metode bezbednosnih popravki (patches) ili (3) izvre
ad hok samozatu sa izolovanim tehnikim reenjima na distribuiranim takama
IKTS.
Metod ne preduzima nita najee se zasniva na uverenju da se to nee ba
nama dogodi i sl. Naalost, pravi dokaz o postojanju pretnje obino dolazi, posle
uspeno izvrenog napada sa nekim gubitkom. Slino je kada IKTS ima samo logiku
mrenu barijeru (rewall) ili neku drugu staku formu infrastrukture zate, koja ne
prua dovoljnu zatu za online reim rada [21].
Manuelna i improvizovana metoda bezbednosnih popravki ranjivos predstavlja
stari metod reakvne zate. Teoretski je mogue pra sve potencijalne izvore pret-
nji, preuze sve relevantne bezbednosne popravke ranjivos i zam tesra i instalira
svaku od njih, na svakom potencijalno ugroenom RS. Meum, potrebno je znaajno
vreme za idenkovanje, manuelno ksiranje i tesranje potencijalno ranjivih RS u
mrei, to je krino u sluaju neposrednog rizika od napada sa Interneta. U odnosu
na prvu opciju, ni ovo reenje ne obezbeuje valjanu strategiju zate. Vremenski pro-
zor reakvne zone zate, sa razliim reenjima i manuelnim otklanjanjem ranjivos,
nalazi se izmeu vremena objavljivanja iskorienja odreene ranjivos i manuelne po-
pravke te ranjivos (Sl. 4.2) [53].
Neusaglaena reenja zate na izolovanim, distribuiranim takama IKTS su rela-
vno spora i skupa, a trenutno preovlauju u svetu. Kbuhvataju slojevitu zatu po
dubini, na vie nivoa i sa vie razliih komponen zate. Upravljanje ovakvim siste-
mom vremenski je zahtevno, skupo i kompleksno. Reenje je efekvno za jednokratnu
upotrebu, ali ne obezbeuje koherentnu, integralnu i uniformnu zatu IKTS. Bez centra-
lizovanog upravljanja ovaj sistem ne obezbeuje analizu i vremensku korelaciju velikog
broja bezbednosno relevantnih podataka i njihovu razmenu u realnom vremenu, pa
57
BO FOO
su organizacije primorane
da samostalno reaguju na
bezbednosne incidente i
preduzimaju skupe mere
za oporavak sistema.
Sve mere zate u re-
akvnoj zoni usmerene
su na reakvno saniranje i
oporavak sistema. Manue-
lne popravke ostaju u re-
akvnoj zoni, a esto se
ne apliciraju due vreme
od objavljivanja iskoris-
vos. U ovoj zoni se nalaze
i razliita reenja postojeih sistema reakvne zate, od kojih se veina fokusira na
otkrivanje ranjivos sistema. Pre nego to saniraju ranjivost, moraju utroi vreme na
njeno otkrivanje, analizu i objavljivanje popravke. Administratori zate nemaju realne
mogunos da izdvoje krine ranjivos od minornih, a obian IDS preduzima akvnos-
, tek kad je proces napada u toku. Ksim toga, za analizu incidenta podaci se manuelno
skupljaju sa razliih taaka i u raznim formama iz log datoteka distribuiranih RS, to
znatno usporava i oteava analizu. Manuelne i poluautomatske popravke ranjivos
sistema, danas su standardni metodi koji obezbeuju nedovoljno jaku, ali kontrolisa-
nu zatu na prihvatljivom nivou rizika. Reakvni sistemi zate troe velike resurse za
planiranje, bekapovanje i oporavak sistema od, esto, samo jednog napada. Reenje
je da se implemenra rentabilna proakvna detekcija napada i IKTS od poznah i
nepoznah pretnji.
4.3. KONCEPT SISTEMA PROAKTVNE ZATITE
Prvi korak u razvoju sistema proakvne zate je korienje baza znanja (npr, ISC
CBK (Internaonal Security Consorcium Common Body of Knowladge) i drugih servisa
najbolje prakse zate, koji omoguavaju korisnicima sopstvenu implementaciju i upra-
vljanje zatom. U ovim bazama znanja uskladitene su, denisane i opisane U, K i T
kontrole najbolje prakse zate za niske, srednje i visoke nivoe rizika.
Koncept sistema proakvne zate obezbeuje zatu od iskorienja poznah i ne-
poznah ranjivos, zaustavljanjem malicioznih napada na samom izvoru nastanka. Ko-
ris najsavremenije tehnologije zate i proakvne mere ranog otkrivanja, predvianja
i spreavanja malicioznih napada, npr. IBM Provena Desktop Endpoint Security je
dizajniran da zaustavi napad pre nego se dogodi [41].
Sl. 4.2. Vremenski prozori proakvnih i reakvnih
sistema zate [53]
58
KO FOJ
Sistem proakvne zate obezbeuje veu rentabilnost vremena i trokova od
postojeih reakvnih sistema. Idealan zahtev je da sistem zate reaguje maksimalno
brzo i precizno na kombinovane, dinamiki promenljive pretnje (DPP).
4.3.1. Funkcionalni model proaktivne zatite
Metod proakvne zate obuhvata mehanizme zate na vie nivoa, sa razliim
brzinama reakcije i tanos, sa veom ukupnom efekvnou, redukovanim opera-
vnim rizikom i znatno niim trokovima razvoja, rada i odravanja. Koncept sistema
DPP zate nudi novi proakvni pristup, u kojem se zata realizuje kombinacijom baza
znanja, vrhunske tehnologije za
proakvnu zatu, procesnog pris-
tupa i pojednostavljenog reenja
sistema zate [53,41].
Baze znanja vodeih obave-
tajnih mrea CIRT i CERT (npr. X
TaskForce, IBM ISS Internet Se-
curity System), prikupljaju podatke
o pretnjama i ranjivosma sistema
i obezbeuju auran bilten po-
dataka (XPress Updates) u kojem
se objavljuje oko 45% ranjivos
aktuelnih sistemskih programa u
svetu ili 3 puta vie od ostalih. X
Force detaljno opisuje brojne ranji-
vos sistema. Na Sl. 4.3. prikazan je
procenat ukupno otkrivenih visoko
rizinih ranjivos u svetu u periodu
19982005. godie [53].
Vrhunska tehnologija vieslojne proakvne zate obezbeuje automazaciju
ciklusa zate sa elemenma ekspertnih sistema, a pino obuhvata [41, 53]:
ureaj za zatu (Protecon Engine), koji sadri IDPS i Modul za reagovanje na
incidente i obezbeuje nelinearnu zatu i upravlja sa IDPS,
ureaj za zatu lokacije (Site Protector), koji obezbeuje komande i centralizo-
vano upravljanje dogaajima i mehanizmima zate u RM i RS,
integrator sistema (Fusion System), koji vri obradu signala, obezbeuje prepoz-
navanje obrazaca i analizira ucaje DPP napada,
modul za auriranje (XPress Updater), koji automatski aurira bazu podataka sa
podacima CERT/CIRT mova.
Sl. 4.3. Procenat otkrivanja ranjivos IKTS
u periodu 19982005. [53]
59
BO FOO
DPP Protecon Engine obezbeuje realizaciju mehanizama DPP zate, a ugrauje se
u sva reenja IBM ISS kao to su: skeneri sistema zate, IDPS (pa RealSecure 10/100,
RealSecure Gigabit Network, RealSecure_Nokia, RealSecure_Crossbeam, ProvenaA...),
soverskohardverski sistemi za spreavanje napada (ProvenaG), viefunkcionalni
ureaji za zatu (ProvenaM), IDPS servera (Real Secure server) i IDPS radne stanice
(Real Secure Desktop) [41, 53].
Procesni pristup za i pojednostavljeni proces zate, bitne su komponente ko-
ncepta proakvne DPP zate. Borba prov nepoznah pretnji zahteva brzo reagovanje
na tek otkrivenu iskorisvu ranjivost, pre nego je neka pretnja iskoris. Reenja DPP
zate koriste jedinstveni mehanizam virtuelne zakrpe (Virtual Patch) za automatsko
ksiranje poznah i potencijalnih ranjivos sistema. Na primer IBM/ISS Provena, radi
tako to obezbeuje privremeni zaklon ili virtuelne bezbednosne popravke za zatu
u nultom danu; spreavaju iskorienje ranjivos od poznah i nepoznah pretnji; ne
oslanjaju se na denicije AVP, eliminiu potrebu hitnih popravki, otklanjaju rizik tete
od popravki i omoguavaju primenu popravki u toku odravanja sistema i uobiajenih
napada.
Kvaj mehanizam omoguava organizaciji da trenutno, u realnom vremenu, za
sistem od poznah i nepoznah napada, esto znatno ranije od zvaninog generisanja i
objavljivanja popravki za nove ranjivos sistema. Na slici 4.4a. na vremenskoj osi prika-
zana je zona proakvne zate [53].
a)
b)
Sl. 4.4. Zona - (a) i proireni prozor proakvne zate (b) [53]
60
KO FOJ
Proces proakvne zate poinje sa trenutkom otkrivanja/objavljivanja ranjivos
sistema. Zam sledi generisanje napada, koji moe iskoris otkrivenu ranjivost siste-
ma, ali obavezno ne mora. Konano, generie se i aplicira nova bezbednosna popravka
za otklanjanje ove iskorisve ranjivos. Iako je vreme od otkrivanja do iskorienja ranji-
vos promenljivo, popravka se esto aplicira tek kada je teta ve naneta, zbog potreb-
nog vremena za manuelnu popravku distribuiranih ranjivos, raspoloivos popravki
za nove ranjivos, tek kada su ranjivos iskoriene i sve kraeg vremena izmeu otkri-
vanja ranjivos i njenog iskorienja.
U vremenu od otkrivanja do iskorienja ranjivos, nalazi se prozor proakvne
zate. U taki otkrivanja ranjivos sistema akvira se Virtual Patch proces, akvira
sistem za proakvnu zatu i obezbeuje zatu i bez poznavanja informacije o iskoris-
vos te ranjivos, koja se moe generisa znatno kasnije. Dakle, zonu proakvne zate
od DPP (Sl. 4.4a) obezbeuje Virtual Patch proces, koji sistem od nepoznah pretnji.
U stvari, proakvna zona zate se protee i na zonu pre otkrivanja ranjivos sistema (Sl.
4.4b), to omoguavaju stalni procesi istraivanja i dubokog razumevanje prirode ranji-
vos IKTS, sistem ranog upozorenja o otkrivenim ranjivosma (ISS obino 30 dana pre
javnog otkrivanja, a 24 sata ranije od drugih enteta) i sistem automatskog auriranja
bezbednosno relevantnih informacija, dobijenih od istraivakog CERT ma.
Dakle, Virtual Patch proces obezbeuje rezervno vreme do pojave dovoljno aurne
bezbednosne popravke, koja ne zahteva individualno krpljenje i manuelno restartovanje
sistema; redenie bezbednost sistema tako da se operacije zate izvravaju kao deo
normalnog procesa upravljanja promenama IKTS, to omoguava mnogo efekvnije i
ekasnije planiranje resursa i bre reagovanje na poznate i nepoznate pretnje.
Primer: IBM realni sistem proakvne zate sadri: upravljanje ranjivosma, IDPS, upra-
vljani servisi zate i prevenvni anvirusni sistem (VPS), koji se instalira na mrenoj kapiji i
PC raunarima, pra realne napade, otkriva nepoznate napade (0dana), zaustavlja trku sa
napadaima i ne zahteva auriranje denicija AVP. VPS na mrenoj kapiji, koji spreava nove
viruse da uopte prodru u mreu. Kva vieslojna zata obuhvata kombinovane tehnologije
za spreavanje upada virusa (VPS), AVP i anpijunske denicije, za spreavanje prepla-
vljivanja bafera, IDPS usmerene na ranjivos, personalne barijere i kontrolu aplikacija [41].
Proakvni sistem zate, u poreenju sa reakvnim, pose rentabilnije vreme ana-
lize i upravljanja rizikom, veu tanost i brzinu otkrivanja i bolje spreavanje napada.
Kako pretnje i ranjivos rastu, sistem zate mora bi bri, precizniji i pouzdaniji. Na-
padaima je za efekvan napad dovoljna margina greke od svega 1%. Centralna pla-
orma za DPP zatu, obezbeuje znatno bolju zatu cele RM i smanjuje kompleks-
nost, eliminie lane alarme, znatno smanjuje ukupne trokove zate i pribliava se
opmalnom sistemu zate.
Proakvni sistem zate zadovoljava zahteve savremenih trendova zate virtuelizo-
vanog okruenja u distribuiranom Internet raunarstvu (CC), mrea u razvoju, mobilnih
ureaja, senzorskih sistema za ziku zatu, alternavnih puteva isporuke mehaniza-
ma zate, upravljanja rizikom i identetom [41].
61
BO FOO
4.4. KONCEPT KONTROLA ZATITE
4.4.1. Osnovne karakteristike kontrola zatite
Kontrola zate je interfejs izmeu korisnika i mehanizma zate, krajnja klasikacija
mehanizma zate, a implicira da se svaki mehanizam zate mora kontrolisa. Tipino,
to je neka funkcija dizajna sistema zate i odnosi se na tehnike i proceduralne meha-
nizme. Kvalitet kontrole zate odreuju njene funkcionalne karakteriske: robusnost
(otpornost na napade), adapvnost (eksibilnost mogunost zamenljivos i skala-
bilnost mogunost proirivanja), organizacija i struktura u procesu zate. Kvalitet
kontrole zate osnov je za evaluaciju kvaliteta procesa zate u procesu serkacije i
akreditacije i kvaliteta garantovane bezbednos IKTS [33, 61, 82, 83].
Robusnost kontrole denie stepen jaine bezbednosne funkcije nivo garantovane
bezbednos, zavisno od efekvnos implementacije, a omoguava denisanje kontrola
sa razliim intenzitetom zate. Kdreena je sa dva kljuna faktora:
intenzitetom bezbednosne funkcije ili relavnom merom potrebnog rada ili
trokova za proboj korektno implemenrane kontrole i
nivoom osnove za scanje poverenja u efekvnost kontrole, denisane sa 3 nivoa
robusnos osnovni (o), srednji ili poboljani (p) ) i visoki (v).
Adapvnost (skalabilnost i eksibilnost) omoguava nadgradnju, poboljanje i izbor
skupa kontrola, adekvatnih za poliku zate i potrebe organizacije. Skalabilnost implici-
ra modularnost nadgradnje kontrola, a eksibilnost elasnu primenu poznah formi
zate (npr. bekapovanje sedmino, meseno, dnevno).
Struktura kontrole zate ima standardnu formu iz vie razloga. Postoje brojni -
povi razliih kontrola zate, koje se mogu iskoris u konkretnom sistemu. Kontrole
se dinamiki razvijaju i menjaju u zavisnos od promena u sistemu upravljanja, opera-
vnom okruenju, pretnjama i tehnologijama zate. Struktura dokumentovane kon-
trole zate treba da sadri sekcije: (1) cilja za o, p i v, zatu, (2) opisa specinih
zahteva i detalja za o, p i v zatu i (3) mapiranja sa zahtevima za zatu, da se izbegne
dupliranje kontrola.
Organizacija kontrola zate u klase i familije obezbeuje njihovu laku primenu. U
skladu sa KKM postoje klase upravljakih (U), operavnih (O) i tehnikih (T) kontrola
zate, koje sadre familije, a ove kontrole [83].
Klasa U kontrola zate odnosi se na upravljanje sistemom zate i rizikom i sadri
pet familija. Klasa O kontrola sadri devet familija, podrava U i T kontrole, a primarno ih
izvravaju ljudi. Klasa T kontrola sadri eri familije, a ukljuuje hardversko-soverske me-
hanizme i protokole zate, koje izvrava sistem. Kontrole familije Upravljanja programom
PM (Program management) mogu se smatra opm kontrolama zate na nivou orga-
nizacije (uvedene su u rev. 3). Tipino pokrivaju vie IKTS i obino se speciciraju u planu
62
KO FOJ
zate, umesto u katalogu kontrola. U Tabeli 4.1. prikazane su klase, pripadajue famili-
je i jedinstveni idenkatori familija za srpsku i (englesku) konvenciju kodiranja [33, 83].
Tabela 4.1. Klase, familije i idenkatori kontrola zate
Idenkator Klasa Familija kontrola
UP (PM)
Upravljaka
Upravljanje programom
BA (CA) Serkacija i akreditacija sistema zate
PS (PL) Planiranje sistema zate
PR (RA) Procena rizika
AS (SA) Akvizicija sistema i servisa zate
SK (AT)
Krganizaciono
operavna
Svest o potrebi i obuka u za
UK (CM) Upravljanje konguracijom
PP (CP) Planiranje konnuiteta poslovanja
UI (IR) Upravljanje incidentom
IS (SI) Integritet sistema i informacija
KS (MA) Kdravanje sistema zate
ZM (MP) Zata medija
&Z (PE) &izika i zata okruenja
PZ (PS) Personalna zata
RK (AU)
Tehnika
Revizija i odgovornos
KP (AC) Kontrola pristupa
IA (IA) Idenkacija i autenkacija
ZS (SC) Zata sistema i komunikacija
:edinstveno kodiranje svake kontrole, primenom standardizovane konvencije, obez-
beuje jednoznanu idenkaciju:
klase: numerike oznake (1, 2, 3...),
familije: sa dva velika slova koja jednoznano deniu ime familije,
nivoa robusnos: oosnovna, ppoboljana i v visoka robusnost i
broj kontrole: ispred ovog idenkatora, odreuje redosled kontrole u okviru
familije prema prioritetu bezbednosnog znaaja.
Primer: PZ4.o jedinstveno oznaava etvrtu kontrolu zate sa osnovnim nivoom robu-
snos u familiji Personalna zata.
Dimenzije kontrola zateivotni ciklus, forma, namena, kategorija, karakteriske i
parametri implementacije, odreuju njihov kvalitet (Tabela 4.2).
63
BO FOO
Tabela 4.2. Dimenzije kontrola zate
Dimenzija kontrole zate Opis atributa
ivotni ciklus dizajn, implementacija, odravanje, odlaganje
Forma polika, procesi, tehnologija
Namena
prevencija, odvraanje, detekcija, redukcija, oporavak,
korekcija, monitoring, razvoj sves
Kategorija dogaaja kontrola gubitaka, kontrola pretnji, kontrola ranjivos
Karakteriske robusnost, eksibilnost
Parametri implementacije cena, bene, priorite
4.4.2. Skup kontrola za sistem osnovne zatite
Izbor adekvatnih kontrola za ispunjavanje specinih zahteva za zatu, demonstrira
stvarnu odlunost organizacije za zatu CIA informacija [48]. Skup kontrola za sistem
osnovne zate je minimalan. Preporuuje ga najbolja praksa zate za pian IKTS, a
obezbeuje odravanje ukupnog preostalog rizika na prihvatljivom nivou. Rentabilne
kontrole zate odreuju se i biraju na bazi bezbednosne kategorizacije i klasikacije
informacione imovine i procene rizika.
Za efekvnu zatu treba koris kontrole zate denisane u bazama znanja i prila-
godi ih specinosma organizacije u formi kataloga kontrola [33, 83], u kojem se
idenkuju tri osnovna skupa U, O i T kontrola, koje odgovaraju niskom (N), srednjem
(S) i visokom (V) nivou zate, denisanom u procesu kategorizacije i klasikacije. Lista
kontrola za osnovnu zatu obezbeuje minimum zate za odgovarajuu bezbednosnu
kategoriju. Kontrole zate, u svakom od tri osnovna skupa, sadre kombinaciju aku-
muliranih kontrola sa tri nivoa robusnos. Na primer, za N nivo osnovne zate kata-
log sadri kontrole zate sa osnovnim nivoom robusnos o; za S nivo osnovne zate
kombinaciju kontrola zate sa o i p nivoima robusnos; za V nivo osnovne zate
kombinaciju kontrola zate sa o, p i v nivoima robusnos. Pri tome ne postoji dire-
ktna korelacija izmeu tri nivoa robusnos kontrola zate i tri nivoa osnovnih skupova
kontrola zate. Kdgovarajue kontrole zate biraju se za odgovarajue nivoe osnovne
zate. Na primer, neka kontrola zate sa o nivoom robusnos, moe se prvo pojavi
na V nivou osnovne zate ili se nikada ne pojavljuje, ve je samo na raspolaganju kao
opcija organizaciji za dopunu skupa kontrola zate. Neke kompenzujue ili univerzalne
kontrole zate, mogu se primenjiva u sva tri osnovna skupa kontrola zate i za sve
nivoe robusnos. Skup kontrola za osnovnu zatu namenjen je za ublaavanje glavnih
faktora rizika, a za N ucaj faktora rizika sadri ukupno 198 (U= 42, O= 78 i T=78) ko-
ntrola sa N nivoom robusnos [83].
64
KO FOJ
Mapiranje odgovarajuih kontrola sa specinim zahtevima za zatu vri se pomou
matrice za praenja bezbednosnih zahteva RTM (Requirements Traceability Matrix),
koja se konstruie idenkovanjem usaglaenih, specinih bezbednosnih zahteva i
odgovarajuih kontrola zate iz izabranih skupova kontrola za osnovnu zatu, koje te
zahteve ispunjavaju. Mapiranje moe bi:
1:1, jedan zahtev reava se sa jednom kontrolom zate,
1:N, jedan zahtev reava se sa vie kontrola zate,
N:1, vie zahteva reava se sa jednom kontrolom zate i
N:M, vie zahteva reava se sa vie kontrola zate.
U Tabeli 4.3. ilustrovan je primer dela RTM matrice za hipoteke zahteve za zatom
i standardizovan skup kontrola iz kataloga kontrola zate.
Tabela 4.3. Primer matrice praenja zahteva za zatom
Zahtevi zate Mapiranje Kontrole zate
Zahtev br. 1 1:1 PS1o
Zahtev br. 2 1:N PE2o, PE3o, PE 6s, PE7o
Zahtev br. 3, Zahtev br. 4 N:1 CM2s
Zahtev br. 5, Zahtev br. 6 N:M IA1s, IA2s, IA4o
Kontrole zate nisu stake kategorije i mogu se revidira na osnovu promena
prakse, zahteva i tehnologija zate. Modikacija kontrola zate, mora proi rigoroznu
raspravu, reviziju i konsenzus svih zainteresovanih strana u organizaciji.
4.4.3. Proces selekcije i implementacije
kontrola zatite
Izbor opmalnih U, O i T kontrola zate za ublaavanje faktora rizika na prihvatljiv
nivo, vaan je zadatak za svaku organizaciju. Pre izbora treba izvri bezbednosnu kate-
gorizaciju i klasikaciju informacione imovine i procenu rizika, ime se verikuje njihova
vrednost. Prva akvnost u procesu izbora kontrola je opis faktora rizika sa liste priori-
tetnih rizika, koje treba ublai na prihvatljiv nivo. Da bi se razumeli vrsta i intenzitet
pokrivanja pretnji/rizika primenjenim kontrolama zate, potrebno je odredi koji se
faktori rizika i sa kojim kontrolama zate ublaavaju, ne ublaavaju, zaobilaze ili su
postali prihvatljivi preostali rizik. Za to su korisne dostupne taksonomije potencijalnih
pretnji i ranjivos IKTS. :edna od praknih taksonomija je podela pretnji na greke,
prirodne dogaaje i namerne napade, koji se karakteriu prema pu, sposobnosma,
resursima i namerama napadaa [22, 63].
65
BO FOO
U izboru kontrola za sistem osnovne zate, procenjuje se pokrivanje pretnji/rizika
sa kontrolama zate na bazi mapiranja: 1:1,1:N i 0:N (nemogunost pokrivanja faktora
rizika jednom ili vie kontrola). Da bi se generisale adekvatne kontrole zate za osnovnu
zatu treba izvri analizu i procenu rizika u ranoj fazi razvoja IKTS. Ako se pokae
da su pokrivanja pretnji neadekvatna, mogu se pobolja kontrole za osnovnu zatu,
poveanjem njihove robusnos ili dodavanjem novih. Proces izbora kontrola zate
treba vodi na osnovu rezultata procene rizika. Primer metoda za procenu pokrivanja
razliih pretnji osnovnim kontrolama zate prikazan je u Prilogu 4 [25].
Bezbednosna klasikacija i kategorizacija informacione imovine, informacije o
sistemu (obim, granice, dekompoziciju, krinost i izloenost sistema napadima itd.)
uzima iz plana zate, a na osnovu bezbednosnih zahteva [3,10, 65].
U sistemu zate pojam klasikacije se odnosi na klasikaciju bezbednosnih nivoa
informacija (npr. interne, poverljive, strogo poverljive, dravna tajna itd.), a informacije
se svrstavaju u kategorije u odnosu na p informacije (privatna, vojna, zdravstvena, -
nansijska, naunoistraivaka, poslovna, diplomatska, obavetajna itd.), koju deniu
zakoni, uredbe, regulave, organizacije ili polika zate [21].
Pod kategorizacijom se podrazumeva klasikacija svih objekata informacione imo-
vine u bezbednosne kategorije, na koje se mogu primeni svi generiki kriterijumi
klasikacije. Standardni proces kategorizacije uspostavlja bezbednosne kategorije za
odreivanje vrednos informacione imovine (A), koje se zasnivaju na kriterijumu u-
caja faktora rizika na misiju organizacije, zatu imovine, funkcionalnost, ispunjavanje
obaveza i zatu prava zaposlenih. Bezbednosne kategorije se deniu u odnosu na ra-
njivos sistema i pretnje u proceni rizika za ciljeve zate CIA informacija [3]. Potencijalni
ucaj na informacionu imovinu realizuje neki agent pretnje, probojem sistema zate, tj.
nekim gubitkom CIA. Prihvatljiva kvalitavna mera ucaja faktora rizika na objekte infor-
macione imovine moe bi: nizak (N), srednji (S), visok (V). Bezbednosnu kategorizaciju
BK svih pova informacione imovine, odreuje potencijalni ucaj gubitka CIA (C=P, I=I,
A=R), koji ima najveu vrednost, tj. uzima se najgori sluaj [3]:

max
, , BK uticaj na P uticaj na I uticaj na R uticaj
gde se vrednost potencijalnog ucaja pretnji uobiajeno rangirana sa: N, S i V.
Primer: Neka je u odreivanju bezbednosne kategorije procesa akvizicije IKTS opreme
(BKao) ucaj pretnji na CIA procenjen sa (P) = S, (I) = V, a (R) = N, bie: BKao=(P, S), (I, V),
(R, N) = (S), (V), (N) = ucaj
max
= V
66
KO FOJ
Izbor minimalnog skupa kontrola za osnovnu zatu, uzima se iz skupa kontrola osno-
vne zate, a kontrola iz skupa za poboljani ili vii nivo zate, na osnovu poveanih
bezbednosnih zahteva. Na primer, ako je najvei potencijalni ucaj N, izaberu se osnovne
kontrole zate za N ucaj pretnji, ako je S izaberu se osnovne kontrole zate za S i N
ucaj pretnji, a ako je V biraju se osnovne kontrole za V, S i N ucaj pretnji. U gornjem
primeru maksimalni ucaj je V, pa se biraju kontrole za V, S i N ucaj pretnji [25].
Prilagoavanje rezultama procene rizika izabranog minimalnog skupa kontrola
osnovne zate, zahteva opis i dokumentovanje modikovanih i novih kontrola zate.
Procena rizika igra vanu ulogu u procesu izbora kontrola zate, pa pokrivanje pro-
cenjenih pretnji skupom kontrola osnovne zate, treba razmatra na bazi rezultata
procene rizika [25].
4.4.4. Procena eektivnosti kontrola zatite
Kontrole zate treba idenkova i implemenra tako da ublaavaju specine
faktore rizika za poslovne procese. Svaka kontrola zate ima svoju cenu, pa zato proces
njene implementacije mora ukljuiva trine faktore. Za procenu efekvnos kontrola
razvijeno je vie metoda intervjua i tesranja (Tabela 4.4).
Tabela 4.4. Metodi za procenu efekvnos kontrola zate za razliite ucaje
Metodi procene: intervju, tesranje Nivo ucaja na IKTS
Atribut Vrednost Nizak Srednji Visok
Dubina
(samo intervju
i tesranje)
skraen
znaajan
sveobuhvatan
Obim
(samo metod
tesranja)
funkcionalnost (crna kuja)
proboj
strukturni (siv i bela kuja)
Pokrivanje
(svi metodi)
broj i p objekata za procenu odreen u
saradnji sa evaluatorom

U praksi zate treba prepozna uslove u kojima odreeni metod za procenu efek-
vnos kontrola zate daje najbolje rezultate i ima najveu vrednost.
67
BO FOO
4.4.5. Dokumentovanje kontrola zatite u planu zatite
Rezulta procesa specikacije i izbora skupa kontrola zate, dokumentuju se u
planu zate, koji obuhvata planirane, implemenrane i na bazi procene rizika, korigo-
vane kontrole zate. Konani skup kontrola dokumentuje se sa svim obrazloenjima
i glavnim razlozima za izbor, sa indikatorima koji ukazuju na prateu dokumentaciju i
koji objanjavaju zato izabrane kontrole ispunjavaju bezbednosne zahteve organizacije.
Plan zate je osnova za serkaciju i akreditaciju sistema, iji su rezulta presudni za
donoenje odluke o povezivanju IKTS sa drugim sistemima izvan domena zate (i gra-
nica akreditacije).
4.5. REZIME
Koncept reakvne zate zasniva se na sprovoenju predenisane polike zate i
procesu upravljanja rizikom. Sam koncept reakvne zate je po svojoj prirodi proak-
van, a reakvni karakter odreuje reagovanje samo na poznate pretnje.
Koncept proakvne DPP zate sistem od dinamiki promenljivih, kombinovanih
pretnji, ekasniji je i efekvniji, obezbeuje pojednostavljen, integralan sistem zate,
reducira sve resurse, bitno poboljava i ubrzava sveukupan proces zate i uspeno za-
menjuje postojee skupe, reakvne i spore sisteme zate. Kstvaruje se kombinacijom
baze znanja o novim napadima i ranjivosma sistema, vrhunske tehnologije za proak-
vnu zatu, procesnog pristupa i pojednostavljenog sistema zate i ima tri osnovne
prednos u odnosu na reakvni sistem zate: brzinu, tanost i pouzdanost - manji broj
lanih alarma i vei nivo zate za ista nansijska ulaganja.
Koncept kontrola zate obezbeuje pomoni alat u procesu projektovanja i upra-
vljanja sistemom zate, osnovne elemente za plan i uputstva zate i olakava izbor
opmalnih kontrola zate, na osnovu procene rizika. Kontrola zate je neka funkcija
dizajna sistema koja se odnosi na tehnike i proceduralne (upravljake i operavne) me-
hanizme zate i poseduju dva osnovna atributa robusnost (otpornost na napade) i
adapvnost (eksibilnost, skalabilnost). Robusnost denie stepen jaine bezbednosne
funkcije i garantovane bezbednos, u zavisnos od efekvnos implementacije, a ada-
pvnost denie nadgradivost i izbor kontrola koje najvie zadovoljavaju denisanu poli-
ku zate. Krganizuju se hijerarhijski u klase (U, O i T), familije i kontrole zate. Klasa U
kontrola sadri pet, O devet i T eri familije. U realizaciji programa zate, zadatak
organizacije je da denie odgovarajui skup kontrola osnovne zate, implemenra ga
i verikuje usklaenost sa planom zate i bezbednosnim zahtevima. Izbor adekvatnih
kontrola demonstrira odluku za zatu informacija.
Sistem kontrola osnovne zate je minimalnih skup, koji odrava ukupni preostali
rizik na prihvatljivom nivou. Kpmalne kontrole zate odreuju se i biraju na bazi
bezbednosne kategorizacije i klasikacije informacione imovine i procene rizika. Svaka
68
KO FOJ
modikacija kontrola osnovne zate mora se dokumentova u planu zate. Sistem
kontrola osnovne zate za nizak (N) ucaj pretnji sadri ukupno 198 (U=42, O=78 i
T=78) kontrola zate sa niskim nivoom robusnos.
Fleksibilnost kontrole zate: omoguava izbor
kontrola zate koje najvie odgovaraju i zado-
voljavaju denisane polike zate i potrebe
organizacije.
Koncept: osnovna zamisao, ideja, idejno ree-
nje, model.
Kontrola zate: konana klasikacija mehani-
zama zate, pino neka funkcija arhitekture
sistema zate, a odnosi se na tehnike, opera-
vne i upravljake mehanizme.
Operavne kontrole zate: ukljuuju orga-
nizacione i tehnike kontrole zate IKTS, koji-
ma upravljaju ljudi.
Proakvna zata: detekcija i spreavanje na-
pada od poznah i nepoznah pretnji/ranji-
vos.
Robusnost kontrole zate: omoguava de-
nisanje kontrole sa razliitom jainom funkcije
zate u zavisnos od ekasnos implementa-
cije.
Strategija proakvne zate: koncept zate od
dinamiki promenljivih, kombinovanih poznah
i nepoznah pretnji i napada.
Strategija reakvne zate: koncept zate od
poznah pretnji i napada.
Struktura kontrola zate: hijerarhijska orga-
nizacija u klase (upravljake, operavne, teh-
nike), familije i kontrole zate.
Tehnike kontrole zate: mehanizmi i proto-
koli zate, koji su implemenrani i izvravaju
se unutar hardvera, sovera ili memorijskih
ipova IKTS.
Upravljake kontrole zate: dokumentovane
mere zate, koje se odnose na upravljanje sis-
temom zate i procenu rizika, a izvravaju ih
uglavnom ljudi.
1. Koncept zate je:
a. najee model sistema zate
b. detaljna aproksimacija realnog sistema
zate
c. denisanje programa zate
d. strategija razvoja sistema zate
2. Reakvni sistemi zate najbolje se moe
predstavi:
a. modelom vodopada
b. modelom sazrevanja procesa zate
c. procesom upravljanja rizikom
d. ivotnim ciklusom sistema
3. Kljune faze opteg funkcionalnog modela
koncepta reakvne zate su:
a. idenkacija stanja zaenos sistema
b. procena rizika, planiranje i implement-
aciju poboljanih kontrola zate
c. idenkacija pretnji i ranjivos IKTS
d. izrada polike zate i kontrola
usaglaenos sa praksom zate
e. nadzor, revizija, obuka i obrazovanje u
za
4. Koncept proakvne zate presudno
odreuje:
69
BO FOO
a. manja rentabilnost vremena i trokova
od postojeih reakvnih sistema
b. reagovanje na dinamiki promenljive,
kombinovane pretnje
c. vea nansijska sredstva za oporavak
sistema
d. detekcija i zata od poznah i nep-
oznah napada
5. Tipina reenja reakvne zate su:
a. ne preduzima nita
b. preduzima redovnu kontrolu stanja
bezbednos IKTS
c. primeni manuelne ili poluautom-
azovane metode bezbednosnih
popravki
d. izvri ad hok samozatu sa
izolovanim tehnikim reenjima na
distribuiranim takama IKTS
6. Kljuni moduli koncepta proakvne zate
su:
a. baze znanja vodeih obavetajnih
mrea CIRT i CERT mova
b. standardi i tehnologije za zatu
c. vrhunske tehnologije za proakvnu
zatu
d. procesni pristup i kompleksno reenje
sistema zate
e. procesni i pojednostavljen pristup
reenju sistema zate
7. U sistemu proakvne zate Virtual Patch
obezbeuje:
a. rezervno vreme do pojave aurne
bezbednosne popravke (update)
b. proakvnu zatu od poznah i nep-
oznah napada
c. slabije planiranje resursa za zatu
d. bolje planiranje resursa za zatu
8. Sistem proakvne zate ima sledee
prednos u odnosu na reakvni sistem:
a. vea brzina reagovanja i tanost de-
tekcije napada
b. sporija reakcija na nepozna napad
c. manja tanost detekcije poznah na-
pada
d. vea pouzdanost (manji broj lanih
alarma)
e. vei nivo zate za ista nansijska ula-
ganja
9. Ksnove prednos koncepta kontrola zate
su:
a. konzistentan i ponovljiv izbor speci-
kacija mehanizama zate
b. preporuke za sistem osnovne zate
(security baseline)
c. zata prema zahtevima bez
mogunos proirenja
d. tehnike i procedure za verikaciju e-
kasnos sistema zate
10. Pokrivanje pretnji u izabranom osnovnom
sistemu zate mogu obezbedi:
a. jedna kontrola zate
b. kombinacija svih kontrola zate
c. kombinacija odreenih kontrola zate
d. ni jedna kombinacija kontrola zate
11. Kontrola zate je izmeu ostalog:
a. krajnja klasikacija servisa zate i neka
funkcija dizajna sistema zate
b. mehanizam zate koji se ne moe
kontrolisa
c. stana i nezavisna od promena
okruenja, sistema i tehnologija zate
d. organizovana hijerarhijski u familije i
klase
12. &amilija upravljakih kontrola zate obuh-
vata sledee kontrole:
a. upravljanje incidentom
b. akvizicija sistema i servisa
c. integritet sistema i informacija
d. serkaciju i akreditaciju sistema zate
e. zika zata i zata od okruenja
13. &amilija organizacionooperavnih kontrola
zate obuhvata sledee kontrole:
a. kontrola pristupa
b. planiranje konnuiteta poslovanja
c. procena rizika
d. zata sistema i komunikacija
70
KO FOJ
14. &amilija tehnikih kontrola zate obuhvata
sledee kontrole:
a. planiranje sistema zate
b. idenkacija i autenkacija
c. sves o potrebi i obuka o za
d. revizija i odgovornost
e. zata medija
15. Sistem kontrola za visok nivo zate sadri
kontrole sa:
a. osnovnim, poveanim i visokim nivoom
robusnos
b. poveanim i visokim nivoom robusnos
c. osnovnim i visokim nivoom robusnos
d. samo visokim nivoom robusnos
16. Bezbednosna kategorizacija informacione
imovine odreuje ucaj gubitka CIA koji
ima:
a. najmanju vrednost
b. najveu vrednost
c. srednju aritmeku vrednost
d. opmalnu vrednost
71
BO FOO
5.
OPTI MODEL SERVISA ZATITE
5.1. UVOD
Implemenrani skup U, K i T kontrola zate, izvrava funkcije i mehanizme zate,
ijim se izvravanjem realizuju servisi zate. Neki servisi obezbeuju primarnu zatu,
dok drugi otkrivaju napad ili podravaju primarne servise. Servisi zate se speciciraju
na osnovu zahteva i ciljeva zate i procene rizika.
Primarni kriterijum za podelu servisa zate proise iz podele kontrola zate na
U, K i T, na osnovu koje se i primarni servisi zate mogu podeli na U, O i T. Primarne
U servise zate realizuju U kontrole preko mehanizama prinude i nametanja norma-
va, standarda i polike zate. Kperavne kontrole zate realizuju primarne K servise
zate, a tehnike kontrole realizuju primarne T servise zate, implementacijom hard-
versko-soverskih mehanizama i protokola.
Kva podela nije sasvim jednoznana, poto su servisi zate meuzavisni, kombinuju
se i dopunjuju u izvravanju ciljeva i funkcija zate. Bolje rezultate daje op model koji
prikazuje primarne servise sa elemenma za podrku i njihovim meusobnim odno-
sima. Kp model je vie tehniki orijensan, a deli servise zate na servise za podrku,
spreavanje i oporavak.
72
KO FOJ
5.2. SERVISI ZATITE
5.2.1. Misija i ciljevi sistema zatite
Misija sistema zate je da odravanjem IKTS na prihvatljivom nivou rizika, obezbedi
pouzdanost rada poslovnog IKTS i povea efekvnost poslovnih procesa. Primarni ciljevi
sistema zate su zata CIA informacione imovine organizacije. Kvi ciljevi se najee
navode kao dovoljan skup relavno nezavisnih ciljeva zate u relevantnim standardima
zate (ISK/IEC 27001, NIST). U nekim standardima i komponentama zate (evaluacija,
PKI i dr.) navode se i ciljevi zate kontrolisane odgovornos (Accountability), neporeci-
vos, autenkacije i garantovane bezbednos (Security Assurance). Meum, kako su
ciljevi zate meuzavisni, ova granulacija nije neophodna. Na primer, cilj zate integ-
riteta obuhvata zatu neporecivos i autenkaciju, a cilj zate raspoloivos kon-
trolisanu odgovornost, koja, pak, zavisi od mehanizma za obezbeivanje neporecivos.
Garantovanu bezbednost obezbeuju sva tri primarna bezbednosna cilja zajedno.
Bezbednosni zahtev za raspoloivost informacija/servisa obezbeuje ovlaenim ko-
risnicima pouzdan rad i raspoloivost podataka i informacija, sistema, servisa i aplikacija,
po ukazanoj potrebi. Kvaj cilj sistem od namernog ili sluajnog kanjenje podataka,
odbijanja izvravanja servisa i/ili isporuke podataka (DoS/DDoS) i od neovlaene up-
otrebe sistema i informacija i vrlo je esto najvaniji bezbednosni cilj u mnogim orga-
nizacijama [30].
Bezbednosni zahtevi za zatu integriteta ukljuuju zatu integriteta podataka i in-
formacija (skladitenih, procesiranih i prenoenih), konguracije (RS i RM) i integriteta
sesije.
Bezbednosni zahtev za zata poverljivos i privatnos ima za cilj da sprei otkrivan-
je neovlaenim licima uskladitenih, procesiranih i prenoenih poverljivih ili privatnih
informacija. U sistemima za posebne namene i za specine pove osetljivih informacija
(npr. autenkacione), ova zata je od prioritetnog znaaja.
Zahtev za kontrolisanu odgovornost, enteta i pojedinca u organizaciji, ima za cilj
da se akcije svakog enteta/pojedinca mogu pra po jednoznano registrovanim
tragovima. Servis za ostvarivanje ovog cilja zahteva se u saoptenju polike zate i
direktno ukljuuje normavni okvir, odvraanje napadaa, izolaciju greaka, detekciju i
spreavanje upada i oporavak sistema.
Zahtev za garantovanu bezbednost sistema zate osnova je za scanje poverenja
da su U, K i T kontrole zate efekvne i pouzdano rade u predvienom reimu. Kvaj cilj
se ostvaruje adekvatnom realizacijom ciljeva zate integriteta, raspoloivos, poverlji-
vos i kontrolisane odgovornos.
73
BO FOO
5.2.2. Meuzavisnost bezbednosnih ciljeva
Navedeni bezbednosni ciljevi su meusobno zavisni i retko se moe ostvari jedan
bez ucaja drugih. Cilj zate poverljivos zavisi od zate integriteta, zato to nema
smisla oekiva da informacija nije otkrivena, ako je naruen integritet sistema. Cilj
zate integriteta zavisi od zate poverljivos, zato to je vrlo verovatno da je mehani-
zam zate integriteta zaobien i integritet informacije naruen, ako je naruena njena
poverljivost (npr. lozinka administratora). Ciljevi zate raspoloivos i kontrolisane
odgovornos zavise od servisa zate poverljivos i integriteta, zato to se mehanizmi
koji implemenraju ovaj servis lako zaobilaze. Naime, ako se za odreene informacije
narui poverljivost (npr. lozinka administratora), ili se narui integritet sistema, naruava
se i validnost mehanizama, koji realizuju cilj poverljivos, a me i raspoloivos i odgo-
vornos (Sl. 5.1). Svako smanjivanje ovog skupa ciljeva zahteva odgovarajuu aproksi-
maciju i razmatranje ove meuzavisnos [92].
Sl. 5.1. Meuzavisnost bezbednosnih ciljeva
Sa ciljem garantovane bezbednos u meuzavisnoj vezi su svi ciljevi zate. Kada
projektuje sistem zate, projektant uspostavlja graninu vrednost garantovane bezbe-
dnos, kao cilj kojem se tei i koji se pose ispunjavanjem zahteva u svakom od preo-
stala eri cilja, u skladu sa procedurama i standardima dobre prakse zate. Takoe,
ise injenicu da se za garantovanu bezbednost nekog sistema moraju ispuni pro-
jektovani funkcionalni zahtevi za tehniku pouzdanost sistema (verovatnou ili srednje
vreme rada bez otkaza), ali i sprei neeljeni procesi i stei poverenje u sistem zate.
74
KO FOJ
5.3. OPTI MODEL SERVISA ZATITE
Kp model tehniki orijensanih servisa zate obuhvata primarne i sekundarne
servise i njihove meusobne veze. U odnosu na primarnu namenu, model ih klasikuje
na servise za podrku, koji obuhvataju najvei deo kapaciteta IKTS zate, spreavanje
proboja ili zaobilaenja mehanizama zate, detekciju upada i oporavak sistema posle
proboja. U ovom modelu, ciljevi zate se realizuju servisima zate, pa je i njihova me-
uzavisnost idenna meuzavisnos ciljeva zate. Servisi zate se realizuju imple-
mentacijom hardversko-soverskih mehanizama, a izvravaju i upravljaju sa U, K i T
kontrolama zate (Sl. 5.2) [61].
Sl. 5.2. Kp model servisa zate
75
BO FOO
Servisi za podrku su po svojoj prirodi u korelaciji su sa drugim, obezbeuju osnovu
za poverenje u tehnike servise zate i obuhvataju:
jednoznanu idenkaciju enteta (korisnika, procesa IKTS),
upravljanje kriptografskim kljuem,
administraciju zate (operavno upravljanje promenama),
sistemsku zatu (ponovljeno korienje objekata, najmanje privilegija...).
Servisi za spreavanje prevenvno te od proboja sistema zate, a generiki obuh-
vataju servise za:
zatu komunikacija, koji CIA informacija u toku prenosa,
autenkaciju ili verikaciju identeta korisnika i procesa u IKTS,
autorizaciju prava pristupa i akvnos nad objekma IKTS,
kontrolu logikog i zikog pristupa, esto distribuiranu u sistemu,
neporecivost, koji spreava da korisnik porie izvrenu akvnost,
poverljivost i privatnost transakcija, koji spreava gubitak poverljivos informaci-
ja i privatnos linih podataka u toku transakcije.
U KKM neki standardi (NIST, ISK/IEC 27001) navode minimalan i dovoljan sup od tri
primarna servisa za zatu CIA informacija i sistema. Na slikama 5.3.5.5. prikazani su
funkcionalni modeli primarnih servisa za poszanje ciljeva zate CIA raspoloivos
(Sl. 5.3), integriteta (Sl. 5.4) i poverljivos (Sl. 5.5).
Sl. 5.3. Primarni servisi za zatu raspoloivos
76
KO FOJ
Sl. 5.4. Primarni servisi za zatu integriteta
Sl. 5.5. Primarni servisi za zatu poverljivos
Servisi za detekciju i oporavak neophodni su u svakom sistemu zate, poto ni je-
dan servis zate nije savren, a prakno nema sistema zate koji obezbeuje apso-
lutnu zatu. U servise za detekciju i oporavak spadaju procesi za:
detekciju i spreavanje upada, koji najee koriste IDPS,
restauraciju bezbednog stanja ili oporavka sistema posle proboja i
nadzor, kontrolu i reviziju bezbednosno relevantnih dogaaja.
Servisi zate u distribuiranom IKTS mogu bi distribuirani logiki i ziki u do-
menima zate ili u okviru zikih RM. Distribuirani servisi zate bazino zavise od
tehnike pouzdanos, garantovane bezbednos i servisa zate operavnog sistema
77
BO FOO
NOSSS (Nave Operaon System Security Subsystem), koji obezbeuju osnovni sloj
zate u RS [30, 74]. Dok neki servisi ostaju na odreenom logikom nivou apstraktnih
slojeva KS, drugi su implemenrani kroz mehanizme distribuirane u zikom i logikim
slojevima sistema: korisnikih/klijent-server aplikacija, srednjeg sloja (midlware) i niih
slojeva iznad mehanizama KS. Vaan aspekat efekvnos i ekasnos servisa zate je
upravljanje sistemom zate.
Garantovana bezbednost sistema zate ukljuuje sve kapacitete zate i osnova je
za poverenje korisnika da sistem i servisi ispunjavaju ciljeve zate. Poverenje korisnika
u korektnost rada mehanizama zate i otpornost sistema na namerne ili sluajne na-
pade, obezbeuje kvalitetna implementacija adekvatnih kontrola zate. Ve su razvi-
jeni tehnoloki ala za merenje garantovane bezbednos IKTS, koja se moe povea
primenom jednostavnijih tehnikih reenja i poverljivih i pouzdanih komponen, sman-
jenjem verovatnoe proboja, implementacijom IDPS i komponen za oporavak sistema
i integracijom adekvatne tehnologije. Na garantovanu bezbednost sistema ue arhi-
tektura IKTS, tzv. zata bezbednom arhitekturom. Najveu bezbednost imaju namenski
sistemi, projektovani od poverljivih komponen tzv. poverljivi raunarski sistemi (Trust-
ed Computer Base) [66]. &izika i logika distribucija servisa zate i njihovi odnosi sa
drugim servisima sistema prikazani su na Sl. 5.6. [61].
Sl. 5.6. Distribuirani servisi zate
Model distribuiranih servisa zate pokazuje da neki distribuirani servisi ne postoje
individualno ni na jednom nivou, ve su implemenrani sa kooperavnim mehanizmima
na vie slojeva zate. Tipini primeri su servisi za idenkaciju i autenkaciju, iji pro-
ces obino radi na nivou KS, ali moe bi na prezentacijskom, sesijskom ili ak mrenom
nivou KSI modela RM. esto se informacije skupljaju na jednoj maini i prenose kroz RM
do druge (npr. mreni autenkacioni i log serveri).
78
KO FOJ
Servisi domena zate obezbeuju mrenu zatu i prinudnu restrikciju toka poda-
taka i procesa unutar i izmeu poverljivih mrea u nebezbednom Internet okruenju.
Domen zate je skup akvnih enteta (lica, procesa, ureaja), njihovih objekata poda-
taka i meusobnih veza, koje povezuje zajednika polika zate. Tipini domeni zate
u RM sa bezbednom topologijom su intranet, periferijska mrea (DMZ) i ekstranet.
Intranet je interna mrea organizacije, koja koris Internet tehnologije. Tipino, je
ziki distribuiran i meusobno povezan ureajima, koji esto nisu pod kontrolom orga-
nizacije. Interno, organizacija moe podeli intranet u relavno nezavisne module sa
odvojenim domenima zate, slino vodonepropusnim vrama na pregradama broda,
to pomae da se lake implemenra polika zate i ogranie gubici u sluaju proboja
sistema zate. Za segmentaciju mree koriste se mrene kapije (gataways). Postoji vie
reenja segmentacije domena intraneta, koja pino obezbeuju polubezbedni domen
zate neutralnu tampon zonu izmeu dve nepoverljive mree, u kojoj organizacija
moe prui ograniene servise spoljnim mreama [85].
Periferijska mrea (zaklonjena podmrea, demilitarizovana zona DMZ), je segment
RM izmeu dve mrene barijere, koji deli mrenu infrastrukturu na odvojene domene
zate. DMZ konguracija se moe koris za zatu web servera mrenom barijerom,
koja doputa pristup HTTP protokolu za web servise, ali ograniava sve druge protokole.
Spoljna mrena barijera intranet od svakog pristupa sa Interneta, a unutranja
spreava odlazak zaposlenih na zabranjene web lokacije. Koncept domena zate je
osnova za formiranje bezbedne topologije savremene RM, povezane sa Internetom
potencijalno nebezbednom mreom. Uspostavljanje domena zate lokalne mree
zahteva postavljanje jedne ili vie mrenih barijera (rewalls). Na Sl. 5.7. prikazana je
segmentacija mree u DMZ sa jednom (a) i dve mrene barijere (b) [85].
Sl. 5.7. DMZ sa jednom barijerom (a) i dve barijere (b) [85]
79
BO FOO
Domen zate pomae da se odrede priorite zate, izvri klasikacija i usmeri
panja na probleme zate, na bazi servisa koji se zahtevaju u svakom domenu. Zata
IKTS organizacije sa DMZ i podela u domene, analogna je postavljanju zike ograde
oko zgrade (npr. razlii povi barijera), kapija na ogradi (npr. gatewaymrena kapija)
i uvara za kontrolu saobraaja kroz kapije (npr. IDPS i proceduralni servisi zate). Do-
meni mogu bi logiki i ziki, a deniu se na bazi jednog ili vie sledeih kriterijuma:
ziki (zgrade, kamp, region, itd.), poslovni procesi (personal, nansije, itd.), mehanizmi
zate (KS RS, RM itd.). Kljuni elemen za odreivanje mehanizama, znaajnih za servise
zate u svakom domenu, su eksibilnost, projektovana zata, meusobni odnosi do-
mena i slojevitost zate. Razlii domeni zate unutar organizacije meusobno se
mogu preklapa.
Ekstranet je proireni intranet i obino se koris za pristup udaljenih korisnika resur-
sima intraneta i deljenje informacija i servisa. Realizuje se pomou bezbedne virtuelne
privatne mree VPN (Virtal Private Network) sa ifrovanom vezom, za koju su potrebna
dva VPN servera ili VPN server i klijent. Pojam eksternog okruenja intraneta organizaci-
je nije lako odredi. Razlika se moe napravi izmeu transakcija koje su isnski izvan
mree i onih koje su ekvivalentne internim transakcijama, kao to je kriptozaen pre-
nos od take-do-take.
Servisi poverljivog provajdera zate TTPS (Trusted Third Party Services) obezbeu-
je trea strana od poverenja (TTP). Denisan je standardom ISK CD 10181-1 kao au-
toritet bezbednos i zate ili njegov agent, u ije funkcije zate veruju svi uesnici u
IKTS. Kada je TTP autoritet za zatu domena, moe mu se verova za zatu unutar
domena [11, 61].
Standard idenkuje zahteve, koje treba da ispune korisnici i davaoci usluga (TTP),
specicira i standardizuju parametre TTPS u IKTS, u kojim, osim zate primarnih servi-
sa, treba i meusobno poverenje svih uesnika. Tipini sistemi sa takvim zahtevima
su zdravstveni, telemedicinski i savremeni sistemi e-poslovanja, u kojim se tradicionalno
poverenje prenosi u nesigurno e-okruenje, kao i virtuelizovani sistemi distribuiranog
Internet raunarstva (Cloud compung), u kojima je sve vie nepoverljivih korisnika [1,
11, 61, 41].
TTP servisi zate su obavezne komponente vieslojne arhitekture zate, posebno
u sistemu distribuiranog Internet raunarstva, gde odgovornos za zatu servisa za
isporuku sovera (SaaS) plaormi (PaaS) i infrastrukture (IaaS) dele provajderi i korisni-
ci na bazi SLA sporazuma. Dobar primer funkcionalnog modela TTPS je infrastruktura sa
javnim kljuem PKI [11].
80
KO FOJ
5.4. RAZVOJ I IMPLEMENTACIJA SERVISA ZATITE
U skladu sa opm principima i najboljom praksom, servise zate treba obezbedi
za ivotni ciklus sistema kroz sledeih est faza [30]:
1. priprema i odluka da implementacija servisa zate poveava efekvnost;
2. procena stanja sistema zate, idenkovanje zahteva i ciljeva zate;
3. projektovanje, razvoj i evaluacija potencijalnih reenja iz skupa izvodljivih;
4. implementacija izabranih reenja kroz pilot projekat;
5. operavni rad sa nadzorom, revizijom i procenom rizika i
6. odlaganje kroz postupnu tranzicija/ukidanje servisa zate.
ivotni ciklus servisa primenjuje se na svaki servis pojedinano, bez obzira u koju
kategoriju spada. Implementacija servisa zate sopstvenim kapacitema ili preko TTPS,
moe bi sloena, ima svoju cenu i odreeni rizik. Za donoenje odluke treba razmatra
brojna pitanja ucaj na strategiju i misiju organizacije, trokove, tehnologiju rada,
arhitekturu IKTS, zaposlene, poliku i procese zate itd.
5.4.1. Isporuka servisa zatite
Servise zate isporuuje m za upravljanje zatom informacija. Sistem zate in-
formacija je provajder usluga za podrku poslovanja organizacije. Sa tog aspekta servisi
zate se sastoje od tri elementa [73]:
isporuke bilo kojeg proizvoda zate (korisniki interfejs, token, PIN, korisniki
nalog, uputstvo, polika, programski kod, procena rizika itd.);
procesa za odravanje konnuiteta isporuke servisa ili skup koraka, koje orga-
nizacija treba da preduzme od prijema prve isporuke servisa zate;
merenja efekvnos i poboljanja isporuenog servisa u skladu sa pravilom: to
se ne moe meri, ne moe se sa njim ni upravlja.
Kbezbeivanje servisa zate razlikuje se od isporuke zikih proizvoda: nema
promene vlasnitva izmeu provajdera i kupca/korisnika, neopipljivost nema razmene
zikih objekata, nedeljivost ne mogu se raslani na sitnije delove, stalna prome-
nljivost ne postoje dve idenne realizacije istog servisa i postojanost mogu se obe-
zbedi samo kada njihova isporuka pone.
81
BO FOO
5.5. REZIME
Misija sistema zate realizuje se izvravanjem primarnih ciljeva zate CIA infor-
macija. Svi ciljevi zate su u meuzavisnoj vezi sa garantovanom bezbednos sistema
zate.
Podela servisa zate moe se izvri na osnovu vie kriterijuma. Primarni kriteri-
jum je podela na upravljake, operavne i tehnike servise. Model tehniki orijensanih
servisa zate klasikuje servise, na osnovu kriterijuma primarne funkcionalnos, na
servise za podrku, spreavanje i oporavak. Servisi za podrku su generiki i obuhvataju
najvei deo kapaciteta zate u IKTS; za spreavanje te od proboja ili zaobilaenja im-
plemenranih kontrola, a servisi za oporavak detektuju upad i oporavljaju sistem posle
proboja. Svaki sistem IKTS zate u krajnjem zavisi od servisa postojeih podsistema
zate KS (NKSSS), zam od bezbednost IKTS ne moe bi vea od NKSSS. Ksnova za
zatu RM je koncept domena zate i prinudne restrikcije toka podataka i procesa
unutar i izmeu ovih domena. Domen je skup akvnih enteta i njihovih meusobnih
veza, povezanih zajednikom polikom zate. Tipini domeni zate su intranet, DMZ
i ekstranet.
Servise zate moe obezbedi sama organizacije ili poverljivi provajder zate
(TTP), denisan u standardu ISK CD 101811. U skladu sa opm principima i najboljom
praksom, servise zate treba implemenra za ceo ivotni ciklus sistema kroz faze pri-
preme, procene, projektovanja, implementacije, rada i odlaganja, uz razmatranje niza
pitanja o implikacijama na misiju organizacije.
Kbezbeivanje servisa zate razlikuje se od isporuke zikih proizvoda: nema
promene vlasnitva, nisu opipljivi, nedeljivi su, stalno promenljivi i postojani u isporuci.
Bezbednosni cilj: denie se na bazi zahteva za
zatu poverljivos, integriteta i raspoloivos
informacija.
Bezbednosni domen: skup akvnih enteta
(lica, procesa, ureaja), njihovih objekata po-
dataka sa zajednikom polikom zate.
Bezbednosni zahtevi: zahtevi za pove i nivoe
zate, neophodni za opremu, podatke, infor-
macije, aplikacije i objekte da bi se ispunile za-
konske obaveze i polika zate.
Domen zate: skup elemenata kojim upravlja
autoritet zate i koji dele istu poliku zate;
denie se na osnovu jednog ili vie kriteriju-
ma na zike i logike domene.
Mehanizmi zate: pojedinani, individualni
algoritmi, metodi ili hardverskosoverski
moduli za eliminisanje bezbednosnih prob-
lema u RS i mrei .
Periferijska mrea ili DMZ: segment RM
izmeu dve mrene barijere; demilitarizovana
zona/zaklonjena podmrea, koja deli mrenu
infrastrukturu na odvojene domene.
Primarni servisi zate: dele se na osnovu pri-
marnih kriterijuma podele kontrola zate na
upravljake, operavne i tehnike servise.
Servis zate: skup logikih i zikih aplikaci-
ja za podrku, spreavanje i oporavak, koje
izvrava implemenrani sistem upravljakih,
operavnih i tehnikih kontrola zate.
TTPS (Trusted Third Party Service): servis po-
verljivog provajdera.
82
KO FOJ
5.7. PITANJE ZA PONAVLJANJE
1. Misija sistema zate je:
a. da odravanjem bezbednog stanja IKTS
na prihvatljivom nivou rizika, obezbedi
pouzdanost rada poslovnog IKTS i
povea efekvnost poslovnih procesa
b. da omogui realizaciju polike i plana
zate
c. rezultat realizacije primarnih zahteva i
ciljeva zate
d. odravanje sistema zate na prih-
vatljivom nivou rizika.
2. Bezbednosni ciljevi neporecivos ukljuuju
sledee servise zate:
a. autenkacije
b. integriteta
c. poverljivos
d. kontrolisane odgovornos
e. bezbednosnu garanciju
3. Bezbednosni ciljevi autenkacije koris-
nika ukljuuju sledee servise zate:
a. raspoloivos
b. integriteta
c. poverljivos
d. kontrolisane odgovornos
e. bezbednosne garancije
4. Bezbednosni ciljevi integriteta ukljuuju
a. raspoloivos
b. poverljivos
c. kontrolisane odgovornos
d. bezbednosne garancije
5. Bezbednosni ciljevi poverljivos ukljuuju
a. raspoloivos
b. integriteta
6. Bezbednosni ciljevi kontrolisane odgovor-
nos ukljuuju sledee servise zate:
raspoloivos
a. integriteta
b. poverljivos
c. bezbednosne garancije
7. Bezbednosni ciljevi raspoloivos
ukljuuju sledee servise zate:
a. integriteta
b. poverljivos
8. Ciljevi servisa zate poverljivos i integ-
riteta su:
a. meuzavisni zato to, ako se narui
integritet sistema, naruen je meha-
nizam zate poverljivos, a ako je po-
verljivost izgubljena vrlo je verovatno
da e integritet bi naruen
b. nezavisni zato to, ako se narui
integritet sistema, mehanizam zate
poverljivos ostaje nepromenjen
c. cilj zate integriteta ne zavisi od cilja
zate poverljivos, ali cilj zate
poverljivos zavisi od zate integ-
riteta
9. Servis za podrku je:
a. namenjen za spreavanje proboja ili
zaobilaenja mehanizama zate
b. namenjeni za detekciju upada i opora-
vak sistema posle proboja
c. generiki i obuhvata najvei deo kapa-
citeta IKTS zate
10. Servisi za spreavanje je:
a. namenjen za spreavanje proboja ili
b. namenjen za detekciju upada i opora-
citeta IKTS zate
11. Servisi za detekciju i oporavak sistema su:
a. namenjeni za spreavanje proboja ili
b. namenjeni za detekciju upada i opora-
citeta IKTS zate
12. Servisi za podrku obuhvataju:
a. jednoznanu idenkaciju enteta,
upravljanje kriptografskim kljuem, ad-
ministraciju zate, sistemsku zatu
83
BO FOO
b. zatu komunikacija, autenkaciju,
autorizaciju, kontrolu pristupa, nepo-
recivost, poverljivost i privatnost trans-
akcija
c. detekciju i spreavanje upada, res-
tauraciju bezbednog stanja, nadzor,
kontrolu i reviziju
13. Servisi za spreavanje obuhvataju:
a. jednoznanu idenkaciju enteta,
upravljanje kriptografskim kljuem, ad-
ministraciju zate, sistemsku zatu
b. zatu komunikacija, autenkaciju,
autorizaciju, kontrolu pristupa, nepo-
recivost, poverljivost i privatnost trans-
akcija
c. detekciju i spreavanje upada, res-
tauraciju bezbednog stanja, nadzor,
kontrolu i reviziju
14. Distribuirani servisi zate su:
a. uvek implemenrani na jednom ap-
straktnom sloju distribuiranog IKTS
b. implemenrani sa kooperavnim me-
hanizmima na vie slojeva zate
c. implemenrani sa kooperavnim me-
hanizmima na jednom sloju zate
d. bazino zavisni od tehnike pouzdan-
os, garantovane bezbednos i NKSSS
e. nezavisni od tehnike pouzdanos,
garantovane bezbednos i NKSSS
15. Domen zate, kao osnovni koncept mre-
-ne zatu IKTS:
a. je skup akvnih enteta, podataka
i njihovih veza, sa istom polikom
zate
b. obezbeuje mrenu zatu i prinudnu
restrikciju toka podataka i procesa
unutar i izmeu poverljivih mrea u
nebezbednom Internet okruenju
c. ukljuuje periferijsku mreu, intranet i
ekstranet
d. ne moe bi logiki i ziki i ne
pomae kod odreivanja prioriteta
zate
e. uspostavlja se primenom jedne ili vie
logikih barijera (rewalls)
16. Glavne faze procesa za razvoj i impleme-n-
taciju ivotnog ciklusa servisa zate:
a. priprema, procena, projektovanje,
implementacija, operavni rad i odlag-
anje
b. planiranje, projektovanje, implement-
acija, operavni rad i odlaganje
c. priprema, procena, implementacija,
operavni rad i odlaganje
d. ukljuuju isporuku servisa, plan
isporuke i plan odravanja i odlaganja
servisa
17. Glavni atribu isporuenih servisa zate
su:
a. servise isporuuje m za upravljanje
zatom informacija
b. servise isporuuje menader zate
informacija
c. ukljuuju isporuku servisa, proces za
odravanje konnuiteta isporuke, me-
renje i poboljanje isporuenog servisa
zate
d. ukljuuju isporuku servisa, procese za
implementaciju, merenje i poboljanje
isporuenog servisa zate
84
KO FOJ
6.
METRI,KI SISTEMI ZATITE INFORMACIJE
6.1. UVOD
U sistemu zate informacija ni jedna akvnost ne moe bi dobro upravljana ako se
ne moe meri. Ciljevi zate informacija i kvalitet sistema zate, mogu se posi na
bazi bezbednosnih zahteva za proizvode zate (ISK/IEC 15408), najbolje prakse zate
(NIST SP 80053, ISK/IEC 27002), procesnog pristupa i modela progresivnog sazrevanja
procesa zate (SSECMM
15
). U standardu ISK/IEC 15443 navedene su sve metode i
sredstva sistema kvaliteta IKTS [46]. Razvoj metrikog sistema zate ukljuuje izbor
metodologije i poznavanje i primenu generikog procesa metrikog sistema. Panju
zasluuje model i metod za sazrevanja procesa zate SSE CMM v. 2008.
Metrika daje svoju punu vrednost kada su merenja konzistentna, ponovljiva i bez
subjekvnih kriterijuma. Kontekstualno specina metrika je korisna u za i pomae
organizaciji da razume bezbednosni rizik i ranjivos u infrastrukturi sistema zate,
fokusira panju na tekui problem, meri i poboljava performanse procesa zate i izbo-
ra najbolje tehnologije zate.
6.2. METODOLOGIJA METRIKE SISTEMA ZATITE INFORMACIJA
6.2.1. Definicije pojmova
Merenje daje jednokratni uvid u specine merne parametre sistema zate, a
metrika je viekratno merenje u duem vremenskom periodu ili sredstvo za interpreta-
ciju agregiranih mernih podataka na viem nivou. Merenja se vre poreenjem u odno-
su na predenisani merni etalon i zavisi od razumevanja zahteva zainteresovanih strana,
a metrike su proizvod analize rezultata merenja. Drugim reima, rezulta merenja su
objekvni i sirovi podaci koji mogu automatski da se generiu, dok su metrike objekvne
15 Engl.: Security System Engeneering Capability Maturity Model, standard ISK/IEC 21827 od 2003.
85
BO FOO
ili subjekvne interpretacije h podataka [20]. Metrika zate je od posebnog znaaja
za procese digitalne forenzike jer obezbeuje ponovljivost tesranja i merenja digitalnih
dokaza po zahtevu pravosudnih organa, to zahteva standardni kriterijum za priznava-
nje posrednog digitalnog dokaza pred sudom. Razni autori i standardi razliito deniu
metrike zate [8].
Metriki sistem je skup kriterijuma, parametara, mernih ureaja, podataka i jedi-
nica za generisanje i prikazivanje rezultata merenja, koji podrazumeva procese evalua-
cije i/ili monitoringa performansi servisa zate. Metriki sistemi zate informacija su
brojni, a u praksi se najee primenjuju: snaga kriptografskog algoritma; kvalitavna
metrika (npr. ucaja: nizak, srednji, visok); kvantavna metrika (cost-benet); metrika
soverskog inenjerstva (SwE), detekcija anomalija (IDS/IPS); srednje vreme napada;
intervjui; metrika poslovnih procesa; revizija sistema zate i model sazrevanja procesa
zate (SSE CMM). Objek merenja u sistemu zate informacija mogu bi organizacija;
proizvod (planiran, u razvoju, u radu); tehniki sistem (hardver, sover, komunikaciona
infrastruktura, komponente sistema zate, sistem zate u celini) [29].
Upravljanje zatom informacija je oblast koja nema dobro denisane metrike i jo
uvek ne postoji konsenzus oko kljunih indikatora, to uglavnom poe od skrivanja bez-
bednosnih incidenata. Krganizacije koje su imale hakerski napad, nerado to objavljuju,
a one koje nisu ne hvale se, jer ne ele da moviu napade. Kdgovorne organizacije
mere akvnos zate i dokumentuju efekvnost metrika zate. Procesi zate infor-
macija ukljuuju niz analikih ispivanja, a odluka se lake donosi kada postoji metrika.
6.2.2. Principi, namena, program i procesi metrikog sistema
Glavni principi metrikog sistema zate su:
ima obezbeene informacije koje se mogu kvankova (procen, srednje vred-
nos, gradacije 1 3, 1 5, 1 10),
uvek obezbedi dostupnost podacima koji podravaju metriki sistem,
samo ponovljive procese smatra merljivim,
upotrebljiv za praenje performansi i usmeravanje resursa za zate.
Namena metrikog sistema zate je da idenkuje uzroke slabih performansi
servisa i mehanizama zate i omogui odgovarajue korekvne akcije. U odnosu na
generiki p, metrike zate se dele na metrike za:
kvantavno/kvalitavno vrednovanje (proverava mehanizama zate) i
merenje performansi (za konnualno poboljanje procesa zate).
Prvi p metrike je rezultatski orjensana metrika, a drugi metrika sazrevanja pro-
cesa zate. Rezultatski orijensana metrika analiza, bazirana na izvravanju ciljeva
zate, dostupna je i izvodljiva za merenje, ponovljiva i pogodna za praenje perfor-
mansi i usmeravanje resursa zate [40]. Rezultatski orjensana metrika koris se za
86
KO FOJ
smanjenje trokova, poveanje prihoda, poveanje produkvnos, smanjenje proizvod-
nog ciklusa i smanjenje rizika od prekida poslovanja. Metrika sazrevanja procesa zate
vri evaluaciju efekvnos i poboljavanje upravljakih, organizacionih i tehnikih pro-
cesa zate i obezbeuje relevantne podatke o izvravanju ciljeva zate. Razvijeno je
vie metrika za merenje zrelos procesa zate od kojih je samo SSECMM postao de-
facto standard.
U odnosu na objekte zate, razvijena su tri pa su metrikih sistema za merenje:
(1) kvaliteta implementacije polike zate; (2) efekvnos i ekasnos servisa zate
i (3) ucaja bezbednosno relevantnih dogaaja na poslovanje. Efekvnost svakog pa
metrikog sistema zavisi od zrelos programa zate, organizacije i kvaliteta implemen-
tacije kontrola zate. Sva tri pa metrikih sistema mogu se koris simultano. Sa
poveanjem zrelos implementacije kontrola zate, cilj je da se primarni fokus pomera
sa prvog na trei p metrikog sistem [95].
Program metrike sistema zate treba da ukljui najmanje eri interakvne kom-
ponente. Podrka menadmenta je krina komponenta za uspeh programa metrikog
sistema zate. Polika i procedure zate, neophodne
su za nametanje i usaglaenost. Metrika se ne moe lako
izves, ako nema proceduru implementacije. Uspeh
implementacije programa zate procenjuje se na bazi
rezultata, pa program zate treba da denie uloge i
odgovornos za sistem kvaliteta zate, metrike zate,
uputstva za merenja, metod i proces za razvoj svake
metrike i faktore ucaja na implementaciju. Program
metrike zahteva periodinu analizu za obuku, poboljanje
efekvnos procesa zate i planiranje kontrola zate
(Sl. 6.1a) [15].
a)
Sl. 6.1. Struktura (a) i proces (b) programa metrike
zate informacija
b)
87
BO FOO
Proces implementacije programa metrike zate (Sl. 6.1.b) obuhvata sedam koraka
[95]: (1) denisanje stratekih i takkih ciljeva programa metrike, (2) izbor metrike, (3)
razvoj strategije za primenu metrike, (4) uspostavljanje referentnih performansi i cilje-
va poboljanja, (5) odreivanje naina prezentovanja metrike, (6) denisanje akcionog
plana i akcija i (7) uspostavljanje formalnog ciklusa preispivanja programa metrike. Na
ovaj nain obezbeuje se kontrolisan proces uspostavljanja programa metrike zate,
konzistentnost sa ciljevima i kako, ko i kada treba da koris njene rezultate. Ako pos-
toji okvir za poboljanje procesa, metrike zate treba da mu se prilagoavaju, a ako ne
postoji za odreivanje metrike koriste se pristupi odozgo nadole ili odozdo nagore (Ta-
bele 6.1 i 6.2). Pristup odozgo nadole, poinje od ciljeva programa zate, preko iden-
kovanja specinih metrika za odreivanje stepena poszanja h ciljeva i zavrava sa
merenjima. Pristup odozdo nagore zahteva da se prvo ustanove koji su procesi, proiz-
vodi, servisi zate i dr., ve izmereni ili ih treba meri, a zam se razmatra metrika, koju
je mogue izves iz h merenja i odreuje veza metrika sa ciljevima programa zate.
Tabela 6.1. Pristup za izbor metrike Odozgo nadole
PRISTUP ODOZGO NADOLE
1. Naves ciljeve programa zate
Primer ciljeva: do kraja sledee godine redu-
kova broj virusnih infekcija za 30%
2. Idenkovanje metrike za praenje pro-
gresa svih ciljeva programa zate
Primer metrike: broj anvirusnih alarma u
odnosu na presek stanja od pre dve godine
3. Kdabra merenja potrebna za svaku
metriku
Primeri merenja:
broj anvirusnih alarma po mesecu
broj prijavljenih infekcija
Tabela 6.2. Pristup za izbor metrike Odozdo nagore
PRISTUP ODOZDO NAGORE
Idenkova merenja za ovaj pro-
ces zate
Primer merenja: prosean broj detektovanih ranjivos
prvog stepena na svakom serveru po odeljenjima
Kdreivanje metrike koja bi se
mogla izradi na osnovu odabranih
merenja
Primer metrike: promena broja krinih ranjivos
detektovanih na serverima od poslednjeg izvetaja o
ranjivosma
Kdreivanje veze izmeu izvedenih
metrika i uspostavljenih ciljeva pro-
grama zate
Cilj: redukova nivo detektovanih ranjivos na
serverima
Pristup odozgo nadole je mnogo bolji za idenkovanje metrika, koje e bi usaglaene
sa ciljevima programa zate, dok je pristup odozdo nagore laki za odreivanje metrike.
Kba pristupa kreu od pretpostavke da su ciljevi programa zate ve uspostavljeni, jer
su oni preduslov za izradu programa metrike zate u organizacijama, koje nemaju us-
postavljen okvir za upravljanje procesima zate.
88
KO FOJ
6.2.3. Osnovne karakteristike metrika zatite inormacija
Sve metrike zate informacija imaju denisane neke osnovne karakteriske, (Tabela
6.3), koje omoguavaju konzistentnost primene, izbor, komparaciju i analizu, ali se u
praksi, uglavnom, ne odreuju.
Tabela 6.3. Karakteriske metrika zate informacija
Karakteriske Komentar
Naziv Razumljiv naslov ili naziv koji opisuje metriku
Namena emu slui metrika?
Cena Procena stvarnih trokova prikupljanja podataka za izradu metrike
Tip Tehnika ili upravljaka, savremena ili zastarela, numerika ili tekstualna
Lokacija
Gde mogu da se prikupe podaci za metriku zate
Gde se nalaze podaci korieni u prethodnim metrikama
Gde su primenjene prethodne metrike zate
Frekvencija Koliko esto treba prikuplja podatke i prezentova metriku zate
Kategorija
Broj pojave odreenih dogaaja (broj); Ponavljanje dogaaja (frekvencija)
Vreme utroeno na dogaaj (trajanje); Trokovi dogaaja (cena)
Start/stop
kriterijumi
Prikupljanja podataka za metriku
Potrebe i prezentovanja metrike
Trajanje
prikupljanja
Utvrivanje vremenskog perioda potrebnog za prikupljanje podataka
Period
upotrebe
Procena vremenskog perioda u kom e metrika bi koriena
Najei primeri metrika zate informacija su usklaenost sa zakonima i regulava-
ma, demonstracija znaaja zate informacija za organizaciju, odreivanje efekvnos
kontrola zate, broj incidenata u datom vremenskom periodu i performanse zate u
odnosu na budet. Teoretski, metrike zate informacija treba da daju kvantavne,
konzistentne i ponovljive rezultate i da obezbede osnovu za analizu efekvnos progra-
ma zate, izvetavanje, razumevanje naina odravanja zate informacija i demon-
straciju vrednos zate informacija za poslovanje. Primeri metrika zate prema kate-
gorijama da su u Tabeli 6.4.
Tabela 6.4. Primeri metrika zate prema kategorijama
Kategorija Primeri
Broj (koliko
puta se neto
dogodilo)
bezbednosnih dogaaja; blokiranih poslovnih email;
izvrenih bekapovanja; nove informacione imovine;
propusta osoblja odgovornih za zatu; spreavanja korienja osetljivih
dokumenata; spreavanja korienja zaenih aplikacija
89
BO FOO
Kategorija Primeri
Frekvencija
(koliko esto se
neto dogaa)
incidenata; revizije dokumenata; dodele privilegija; udita kontrole
pristupa; pristupanja web lokacijama; bekapovanja servera; zikih
pristupa server sali
Trajanje
(dogaaja)
incidenta; bekapovanja; izloenos pretnjama; reagovanja na incidente;
peovanja (bezbednosne popravke); oporavljanja; monitoringa
Cena (koliki
su gubici zbog
dogaaja)
reavanja dogaaja ili zamene oteene imovine; saniranja incidenta;
vraanja u prethodno stanje (oporavak); kontrola zate; administracije;
sudskih procesa; edukacije
6.2.4. Procesno orijentisani metriki sistemi
U procesnom pristupu, razvijeno je vie modela metrika sazrevanja procesa zate
informacija [20]. SSECMM model sazrevanja i poboljanja procesa i kapaciteta zate,
obezbeuje 6 nivoa zrelos/kapaciteta procesa zate [49, 34]:
0. nivo bez akvnos i izvrenih procesa zate (obino se u modelu izostavlja);
1. nivo nekompletan i neformalno izvravan, postoji polika zate;
2. nivo kompleran, dokumentovan, praen, postoje detaljne procedure;
3. nivo dobro denisan, implemenrane i dokumentovane procedure,
4. nivo kvantavno meren, verikovan, tesrane usaglaenos sa polikom;
5. nivo konnualno poboljavan, potpuno implemenrane u celom IKTS.
Metrika sazrevanja procesa zahteva prikupljanje i verikaciju dokaza o izvrenim
akvnosma, korienje resursa organizacije, analizu akvnos sa snabdevaem, pri-
menu metoda merenja, tanost, ponovljivost i nezavisnost procesa itd. Za kvalitetno
merenje progresivnog sazrevanja procesa zate treba denisa skup mernih atributa,
za neprekidno poboljavanje, kvantavno merenje i praenje standardnih procesa
organizacije, obezbeenje podrke, planiranje i upravljanje procesima organizacije,
izvravanje i izvetavanje procesa organizacije[32].
SSE CMM metriki sistem obuhvata procesno orijensanu metriku, koja se denie
sa kvantavno/kvalitavnim dokazima o nivoima zrelos oblas procesa ili binarnom
indikacijom prisustva/odsustva zrelog procesa i rezultatski orijensanu metriku, koja
obezbeuje, kao dokaze efekvnos procesa, atribute (objekvne/subjekvne, kvalita-
vne/kvantavne) rezultata merenja,.
90
KO FOJ
Tehniki metriki sistemi mogu se primeni za:
uspostavljanje cilja zate merenje stepena doszanja cilja,
planiranje nivoa zate predvianje nivoa zate pre implementacije,
implemenrani sistem za merenje nivoa upada (sa IDPS),
usklaivanje merenja usklaenos sa standardom i polikom zate,
nadzor skeniranje nivoa zate nekog objekta i za
analizu kao metod za izbacivanje greaka.
Primeri tehnikih alata za merenje nivoa zate su IDPS, skeneri za monitoring
mrene zate, anspam i AVP, barijere i dr., koji generiu odreene merne podatke i
smetaju u log datoteke zate. Trend je merenje zate iza IDPS.
Metrika proizvoda zate, moe se primeni u svim takama ranjivos, u svim fazama
ivotnog ciklusa (razvoja, implementacije i odravanja), zavisno od zrelos primenjene
tehnologije, koja evoluira i stabilie se u fazi odravanja (Sl. 6.2) [88].
Sl. 6.2. Sazrevanje tehnologija zate
Analiza intervjua, kao metriki sistem, podrazumeva izradu kontrolnih upitnika (sa
sedam do osam tema i oko dvadeset pitanja) o za informacija, intervjuisanje, sku-
pljanje, analizu i interpreranje rezultata, koji pokazuju inicijalnu sliku stvarnog stanja.
Broj uzoraka za intervjue, treba bi dovoljan za uoptavanje rezultata. Kblas za prikup-
ljanje informacija odnose se na krine elemente sistema zate: U, O i T kontrole, orga-
nizaciju, okruenje i ciljevi zate, metriki sistemi (standardi i dokumentacija) i njihova
implementacija, upravljanje rizikom i zatom itd. [61].
91
BO FOO
6.2.5. Izbor tipa i razlozi za primenu metrika zatite
Izbor pa metrikog sistema zavisi od zrelos programa zate. Zreo program zate
implemenra mehanizme za praenje, dokumentovanje i kvantavnu verikaciju per-
formansi sistema zate. ato je vie podataka na raspolaganju, lake je merenje i vea
mogunost automazacije skupljanja podataka za kvantavno merenje. Korisni podaci
se dobiju iz automazovanih alata za nadzor i serkaciju sistema zate, analizu baza
podataka i drugih izvora. Sa aspekta zrelos programa, razlikuju se tri pa metrikih
sistema zate [15, 52, 61, 40]:
1. Tip (3. nivo zrelos): procenat sistema sa odobrenim planovima zate, procenat
sistema sa polikom lozinke i pravima pristupa, kongurisanim u skladu sa bez-
bednosnim zahtevima u polici zate. Kada merenje implementacije dosgne
i ostane 100%, smatra se da su kontrole zate potpuno implemenrane i da je
sistem zate dosgao 3. nivo zrelos.
2. Tip (4. i 5. nivo zrelos): za razvijen program zate, podaci o performansama su
dostupniji, a metriki sistem se fokusira na ekasnost tj. blagovremenost ispo-
ruke servisa zate i efekvnost performansi kontrola zate. Kva metrika je alat
za serkaciju efekvnos kontrola zate, npr. proraunom procenta lozinki za
koje je vreme, potrebno za krekovanje, usaglaeno sa polikom zate lozinke.
3. Tip (5. nivo zrelos): za kontrole zate, integrisane u procese organizacije, procesi
postaju samoregeneravni, a skupljanje mernih podataka potpuno automazo-
vano. Analizom korelacije podataka moe se meri ucaj bezbednosno relevant-
nih dogaaja na poslove i misiju organizacije. Na primer, merenje ucaja obuke,
podrazumeva kvankovanje incidenata po pu i korelaciju dobijenih podataka
sa procentom obuenih korisnika i administratora sistema.
Rezulta istraivanja pokazuju da su osnovni razlozi za primenu metrika zate:
upravljanje zatom, usklaivanje sa zakonima i standardima, ekasnost i efekvnost
performansi u odnosu na ciljeve zate, demonstracija znaaja zate za organizaciju,
podrka proceni rizika i upravljanju zatom itd. U Tabela 6.5. date su najee metrike
zate i primeri prikupljanih podataka.
Tabela 6.5. Najee koriene metrike zate informacija
Metrika zate Primeri prikupljanih podataka
Inciden
broj incidenata u odreenom periodu; uporedni prikaz broja incidenata
u dva vremenska perioda; broj glavnih ili poslovnokrinih incidenata;
cena odreenog incidenta; broj idenkovanih ranjivos; broj saniranih
ranjivos
Zata od virusa
broj incidenata odreenog pa virusa; broj virusnih incidenata u
odreenom periodu; uporedni prikaz broja virusnih incidenata u
dva perioda; broj auriranja baze poznah virusa; procenat uspenih
auriranja baza virusa; broj blokiranih virusa na gateway/perimetru
92
KO FOJ
Metrika zate Primeri prikupljanih podataka
Upravljanje rizikom
broj izvrenih analiza rizika; broj izvrenih analiza pretnji i ranjivos;
broj idenkovanih visokih/krinih bezbednosnih rizika;
broj smanjenih visokih/krinih bezbednosnih rizika
Upravljanje
bezbednosnim
popravkama
(peevima)
broj popravljenih ranjivos (u odreenom periodu)
merenje procesa (npr. izvravanje koraka u zadatom vremenu)
vreme utroeno na popravku (npr. imovine ili krinih sistema)
procenat popravki sistema u odnosu na SLA ili poliku
procenat otkaza sistema koji nisu radili popravke
Usaglaenost sa
polikom zate
broj izvrenih obuka za zatu informacija
broj povreda polike zate
Nalazi revizije
broj neusaglaenos otkrivenih internom kontrolom; broj
neusaglaenos otkrivenih revizijom; srednje vreme reavanja
neusaglaenos; procenat preostalih neusaglaenos
Trokovi
ukupni nansijski gubici zbog bezbednosnih incidenata
ukupni trokovi zbog povrede regulava ili ugovornih obaveza
ukupni nansijski gubici zbog prevara (trokovi oporavka)
ukupni trokovi zate (kontrola zate i posledica incidenata)
6.2.6. Primeri metrikih sistema operativnih kontrola zatite
Za upravljanje sistemom operavnih kontrola zate vano je koris dobru metri-
ku, koja treba da bude S.M.A.R.T [88]:
Specina usmerena na oblast merenja, a ne sporedni proizvod ili rezultat.
Merljiva podaci moraju bi skupljani, tani i kompletni.
Akciona razumljivi merni podaci za koje je lako preduze akciju.
Relevantna merenje samo onog to je vano za podatke.
Timely (Blagovremena) podaci su dostupni kada su potrebni.
Primeri metrika koje mogu sakupi relevantne podatke su sistem AVP zate, upra-
vljanje korisnikih naloga, logike barijere, an-spam zata, upravljanje web sadraja
i upravljanje polike zate.
Program metrikog sistema AVP zate i sistema zate su kljuni elemen polike
zate svake organizacije. Aplikacija merenja AVP je krina za spreavanje veeg u-
caja na poslovanje. Centralizovano upravljanje sistemom AVP zate, mora ima logo-
vanje i izvetavanje za kreiranje korisne metrike. Za AVP zatu interesantno je tri do
pet metrika za skupljanje podataka za analizu svake sedmice, kao to su: broj sistema
sa akvnim AVP i ukupan broj sistema na koje treba instalira AVP, broj sistema bez
93
BO FOO
auriranih AVP denicija, broj sistema koji nisu nedavno skenirani na viruse (najmanje
jedan put sedmino) i dr.
Metrika upravljanja korisnikih naloga je znaajna, jer veliki broj napada dolazi iz
interne mree. Monitoring i kontrola korisnikih naloga pomae da se sprei njihovo
korienje za napade na IKTS. Metrika koja se moe sakupi i analizira ukljuuje: uku-
pan broj naloga, broj naloga koji nikad nije korien, broj naloga koji nije korien 30 ili
60 dana, broj administratorskih naloga i broj naloga servisa.
Metrike logike barijere su brojne i mogu se monitorisa i kontrolisa. Dogaaji na
barijeri mogu ukaza na indikatore napada ili zloupotrebe internih konekcija IKTS. Metri-
ka koja se moe sakupi i analizira ukljuuje: broj ovlaenih i dezakviranih konekcija
(po pu), koliina informacija (u MB) procesiranih po pu konekcije i broj detektovanih
obrazaca napada.
Metrike spama i integriteta sadraja email-a su vane u e-poslovanju, zbog po-
rasta spama, koji sistem kontrole odrava na odreenom nivou i doputa legiman
rad epote. Metrika koja se moe sakupi i analizira ukljuuje: broj procesiranih po-
ruka epote, broj odbijenih poruka epote zbog spama/restrikcije sadraja, koliina
odbijenih poruka epote u MB (propusni opseg), broj odbaenih poruka epote sa
neodgovarajuim sadrajem i stopa lanih idenkacija spama.
Metrika pristupa Internetu znaajno smanjuje destrukciju rada zaposlenih i zakonske
sankcije, zbog nepropisnog korienja Interneta, posebno sa aspekta trokova Internet
opsega i gubitka produkvnos zaposlenih. Metrika koja se moe sakupi i analizira
ukljuuje: glavni akteri zloupotrebe Interneta (vreme/MB korienja Interneta), pokuaji
pristupa zabranjenim web lokacijama, korisnika staska vremena pretraivanja Inter-
neta, staska pretraivanja Interneta iz poseta web lokaciji, broj datoteka preuzeh/
blokiranih /zabranjenih.
Metrika nadzora polike zate je znaajna za usaglaavanje svih sistema sa stan-
dardima organizacije. Akvan program za nadzor moe idenkova sisteme koji nisu
usaglaeni, a metrika moe pokaza koliko je efekvna organizacija u spreavanju/ot-
klanjanju neusaglaenih sistema. Metrika koja se moe sakupi i analizira ukljuuje:
procenat sistema usaglaenih sa standardima za zatu OS, lista neusaglaenih sistema
i pitanja koja se moraju obuhva u sistemu, verikacija statusa popravki, procenat
sistema popravljenih na zahtev.
6.2.7. Prezentovanje metrika zatite inormacija
Metrike zate obino se prezentuju menaderu zate, IKT osoblju i kolegijumu
direktora, upravnom odboru ili slinom telu u organizaciji, ime se obezbeuje se do-
datna podrka projekma zate informacija (Sl. 6.3).
94
KO FOJ
Sl. 6.3. Uloge kojima se najee prezentuju metrike zate u organizaciji
Uobiajene forme prezentovanja rezultata metrika zate su tabele sa sirovim ili
staskim podacima i analikim raunima, semafori ili slini indikatori statusa, instru-
ment table, tabele rezultata, grakoni za ilustrovanje trendova ili uporedno prikazivanje
rezultata i izvetaji. Najee forme su dijagrami, instrument table i izvetaji (Sl. 6.4)
[88].
Sl. 6.4. Primeri metoda za prezentovanje metrike zate informacija
95
BO FOO
Grake metode prezentovanja metrike, sa kvantavnim ulazima, prenose veliku
koliinu informacija na jasan i saet nain. Instrument tabla je zgodan metod za preze-
ntovanje rezultata menadmentu, jer brzo i saeto prikazuje veliku koliinu podataka.
Zbog celovitos i objekvnos, grakoni, semafori i tabele najee se prezentuju
menaderima zate ili IKT osoblju. Grakoni se esto koriste za prezentovanje trendo-
va i predvianja. Primena jedne metode prezentovanja ne ue jednako na sve zainte-
resovane strane.
6.2.8. Prednosti i nedostaci metrikih sistema zatite
Prednos metrikog sistema zate za organizaciju su brojne: poboljanje odgovor-
nos; merenje svakog aspekta sistema zate; izolovanje problema u za; usklaivanje
sa zakonima i angaovanje na proakvnoj za; merenje efekvnos implemenranih
kontrola zate itd.
Nedostaci metrika zate su generalno pozna. Glavni problem je merenje ucaja
ljudskog faktora na metrike zate, koji se delimino prevazilazi angaovanjem nezavis-
nih eksperata. Uzroci slabe ili neadekvatne implementacije metrikih sistema, najee
nastaju zbog nedostatka/nepostojanja jasno denisanih procesa metrike, sves o potre-
bi upravljanja zatom, spremnos menaderske strukture za angaovanje u za, do-
kumenata zate, odgovornos itd. [40].
Primena metrika zate u praksi, najee je ad hoc proces. Kljuni rezulta istra-
ivanja primene metrika zate u praksi sumirani su u deset taaka [40]:
1. Ne postoji opta denicija metrike zate.
2. Metrike zate najee se odnose na usklaenost sa zakonima.
3. Najee se odnose na incidente, AVP, rizike, usklaenost i trokove.
4. Kbino se prezentuju menadmentu, menaderu zate i IKT osoblju.
5. Mali broj metrika zate se odnosi na netehnika pitanja.
6. Najee se ne koriste za poslovne zahteve i upravljanje poslovanjem.
7. esto je teko odredi kome i kako treba prezentova metriku zate.
8. Kljuni koraci programa su denisanje zahteva, idenkovanje metrike, prikupljanje
podataka i priprema prezentacija.
9. Dobar program treba da koris kvantavnu i kvalitavnu metriku.
10. Prezentacija metrike treba da odgovara potrebama korisnika.
Zbog nejasne namene, metrike najee ne odgovaraju poslovnim ili ciljevima zate.
Ako je loe denisan program metrike, problemi postanu vidljivi tek u fazi prezentovanja
rezultata, kada se neefekvnost ne moe sakri. Ksnovni problemi primene metrike
zate otkriveni su istraivanjem modela cilja, prikupljanja ulaznih podataka i nain pre-
zentovanja rezultata metrike (Tabela 6.6) [88].
96
KO FOJ
Tabela 6.6. Istraivanje primene metrika zate informacija u praksi
Komponente modela Primeri iz prakse Osnovni problemi u praksi
Zato se koris
metrika zate (cilj)?
upravljanje zatom informacija
izvetavanje rukovodstva
usklaenost sa zakonima ...
podrka upravljanju rizicima
bez jasne primene
teko praenje poslovanja
nekompabilnost sa poslovnim
metrikama
ta metrika zate
koris i prikuplja
(ulazni podaci)?
inciden, AV zata
upravljanje rizicima
upravljanje popravkama
usklaenost sa polikom
nalazi revizije, cena
tekoe u izboru metrike
malo u poslovnoj metrici
nedostatak poslovnog aspekta
zate informacija
Kako se koriste i
prezentuju metrike
zate (prezentacija)?
prezentovanje raznim korisnicima
razni naini prezentovanja
teko idenkova prave korisnike
teak izbor prezentovanja
neprecizan opis stanja zate
6.3. REZIME
Metriki sistemi zate imaju brojne aplikacije. Ne postoje iroko prihvaeni i
korieni standardi za merenje zate informacija. U oblas zate metriki sistemi daju
najbolje rezultate kada se primenjuju kao proces, planiran u pripremnoj fazi razvoja
sistema zate. Za kvalitet programa zate, od presudnog znaaja je razvi i implemen-
ra program metrike zate, denisa proces i model cikline evaluacije i poboljanja
procesa zate.
Proces razvoja metrikog sistema odvija se kroz sedam, a implementacije metrike
kroz est iteravnih koraka, koji kada se potpuno izvre, obezbeuju neprekidnost
primene metrike zate za nadzor i poboljanje performansi kontrola zate. Metrika
zate je od posebnog znaaja za procese digitalne forenzike jer obezbeuje ponovlji-
vost tesranja i merenja digitalnih dokaza.
Koncep merenja i metrike su jasni i imaju veliku vrednost za organizaciju, jer bez
merenja nema ni upravljanja zatom. Za efekvnu metriku akvnos zate moraju
pra promene poslovanja, da bi ulazni podaci uvek bi aktuelni i objekvni. Najbolji
nain razvoja programa metrike je da se u prvoj iteraciji primeni ono to je lake, je-
inije i to najbre daje rezultate. Primenom komparavne tabele za prezentovanje re-
zultata metrike zate, ukljuujui trokovi pripreme, prikupljanja i prezentacije, bie
zadovoljeni zahtevi svih zainteresovanih strana.
97
BO FOO
Merenje: jednokratni uvid u specine merne
parametre komponente zate.
Metrika: viekratno merenje u duem vre-
menskom periodu, ili sredstvo za interpret-
aciju agregiranih mernih podataka na viem
nivou organizacije.
Metriki sistem: skup kriterijuma, parametara,
mernih podataka i jedinica za izraavanje re-
zultata merenja, koji uobiajeno podrazume-
va procese evaluacije i nadzora performansi
servisa zate (tehniki sistem metrike, log
datoteke).
1. Merenje u za informacija je:
a. jednokratni uvid u specine merne
parametre sistema zate
b. ocena oph parametara sistema
zate informacija
c. vri se poreenjem u odnosu na pre-
denisani merni etalon
d. evaluacija parametara sistema zate
informacija
e. objekvan sirov podatak koji moe
automatski da se generie
2. Metrika u za informacija je:
a. viekratno merenje u duem vremen-
skom periodu sa analizom rezultata
merenja
b. sredstvo za interpretaciju agregiranih
mernih podataka na viem nivou
c. proizvod analize rezultata merenja
d. objekvne ili subjekvne interpretacije
rezultata merenja
e. beznaajna za proces digitalne
forenzike istrage
3. Metriki sistem je:
a. skup kriterijuma, parametara, mernih
ureaja, podataka i jedinica za prikazi-
vanje rezultata merenja
b. jedinica mere snage kriptografskog
algoritma
c. namenjen za ekonomsko tehniku (cost
benet) analizu
d. sistem za detekciju anomalija (IDS)
e. SSECMM model sazrevanja procesa
zate
f. revizija sistema zate
4. Kbjek merenja u sistemu zate infor-
macija mogu bi:
a. organizacija, informako odeljenje
organizacije
b. planiran proizvod, rewall u radu
c. server lokalne mree, ISPprovajder
Internet usluga
d. program glavne aplikacije, IDS/IPS
e. mrene komunikacije, sistem zate u
celini
5. Glavni principi metrikog sistema zate
su:
a. ima informacije koje se mogu kvan-
kova
b. upotrebljiv za praenje performansi i
usmeravanje polike zatu
c. obezbeena dostupnost podacima za
podrku metrikog sistema
d. samo izmereni procesi se mogu sma-
tra relevantnim
e. samo ponovljivi procesi mogu se sma-
tra merljivim
6. Namena metrikog sistema je:
a. idenkova uzroke slabih performansi
servisa i mehanizama zate
b. omogui izradu plana zate
c. omogui korekvne akcije
d. omogui ponavljanje servisa zate
7. U odnosu na generiki p metrike zate
se dele na metrike za:
a. kvantavno vrednovanje i merenje
performansi procesa
b. rezultatski orijensanu i metriku sazre-
vanja procesa zate
98
KO FOJ
c. kvantavno i kvalitavno vrednovanje
d. kvalitavno vrednovanje i merenje
performansi procesa zate
8. U odnosu na objekte zate razvijena su tri
glavna metrika sistema za merenje:
a. procenta sistema sa odobrenom poli-
kom zate
b. procenta implementacije sistema
zate
c. efekvnos i ekasnos servisa zate
d. kvalitavne ocene incidenata
e. kvaliteta implementacije polike zate
f. stepena integracije sistema zate u
poslovne procese organizacije
g. ucaja bezbednosno relevantnih
dogaaja na poslovanje
9. Ako ne postoji metriki sistem, za
odreivanje metrike koris se pristup:
a. ivotnog ciklusa i brzog odgovora
b. ivotnog ciklusa i pristup odozgo nadole
c. ivotnog ciklusa i pristup odozdo na-
gore
d. odozgo nadole i odozdo nagore
10. Ksnovne karakteriske metrika zate
informacija su:
a. naziv, namena, cena, projekat, frekven-
cija, kategorija, start/stop kriterijumi,
trajanje prikupljanja, period upotrebe
b. naziv, namena, cena, p, lokacija,
frekvencija, kategorija, start/stop
kriterijumi, trajanje prikupljanja, period
upotrebe
c. naziv, namena, cena, p, lokacija,
frekvencija, kategorija, start/stop
kriterijumi, trajanje merenja, period
upotrebe
11. Glavni primeri korienja metrika zate
su:
a. upravljanje zatom informacija
b. usklaivanje sa zakonima, regulavama
i standardima
c. prikazivanje ekasnos, efekvnos
i performansi u odnosu na poslovne
ciljeve
d. demonstracija znaaja zate infor-
macija za organizaciju
e. procena rizika
f. broj incidenata u datom vremenskom
periodu
g. ukazivanje na prednos i nedostatke
standarda zate
12. Glavne faze generikog toka procesa us-
postavljanja programa metrike zate su:
a. uspostavljanje referentnih performansi
i ciljeva poboljanja
b. izbor i razvoj strategije za primenu
metrike
c. uspostavljanje referentnih performansi
i ciljeva merenja
d. razvoj i preispivanje tehnike merenja
e. izbor naine prezentovanja tehnike
merenja
f. denisanje akcionog plana izbora
metrike
13. Glavne komponente strukture programa
metrike zate su:
a. praksa, polika i procedure zate
b. metrika sazrevanja procesa zate
c. podrka menadmenta
d. kvalitavna metrika performansi
e. rezultatski orijensana metrika analiza
f. kvantavna metrika performansi
14. Za procesno orijensani sistem sazrevanja
procesa zate treba denisa atribute za:
a. neprekidno poboljavanje, podrku,
planiranje i upravljanje procesima orga-
nizacije, izvravanje i izvetavanje
b. neprekidno poboljavanje, praenje
procesa zate, podrku, plani-
ranje i upravljanje procesima zate,
izvravanje i izvetavanje
c. neprekidno poboljavanje, kvan-
tavno merenje i praenje procesa
zate, podrku, planiranje, izvravanje
i izvetavanje procesa zate
d. neprekidno poboljavanje, kvan-
tavno merenje i praenje procesa
zate, podrku i planiranje, izvravanje
i izvetavanje
99
BO FOO
15. Sa aspekta zrelos programa razlikuju se tri
pa metrikih sistema zate:
a. procenat sistema sa odobrenom poli-
kom lozinki, ekasnost i efekvnost
performansi kontrola zate, ucaj
bezbednosnih dogaaja na poslovanje i
misiju
b. procenat sistema sa odobrenim pla-
nom/polikom, ekasnost i efekvnost
performansi kontrola zate, ucaj
bezbednosnih dogaaja na poslove i
misiju
c. procenat sistema sa odobrenim planom
zate, ekasnost i efekvnost po-
slovnih procesa, ucaj bezbednosnih
dogaaja na poslove i misiju organizaci-
je
16. Najee koriene metrike zate su za:
a. praenje incidenata, zatu od virusa,
upravljanje bezbednosnim popravka-
ma, merenje usaglaenos, reviziju i
trokove zate
b. praenje incidenata, zata od virusa,
merenje usaglaenos i reviziju
c. zatu od virusa, upravljanje bez-
bednosnim popravkama, merenje
usaglaenos
d. trokove zate, zatu od virusa, up-
ravljanje bezbednosnim popravkama
17. Tipine kategorije parametara za metriku
zate ukljuuju:
a. veliinu, frekvenciju, trajanje i cenu
b. broj, frekvenciju, trajanje i cenu
c. broj, veliinu, frekvenciju, kvalitet ser-
visa, trajanje i cenu
18. Tehniki metriki sistemi se mogu primeni
za:
a. uspostavljanje cilja zate, implemen-
rani sistem, usklaivanje, nadzor i
analizu
b. uspostavljanje cilja zate, planiranje
nivoa zate, implemenrani sistem,
usklaivanje, nadzor i analizu
c. planiranje rizika, implemenrani
sistem, usklaivanje, nadzor i analizu

100
KO FOJ
7.
TAKSONOMIJE PRETNJI I MALICIOZNIH
PROGRAMA
7.1. UVOD
Uporedo sa razvojem Interneta, rastu i potencijalne pretnje spolja i iznutra. Intranet
mree nude brojne prednos (poveanje produkvnos, smanjenje trokova itd.), ali
ine i krinu taku bezbednos za CIA informacija. Istraivanja pokazuju da mnogo
veu tetu nanose interni napadi u sistemu e-poslovanja, u kojima interni korisnici nisu
samo zaposleni za koje postoji odreeni stepen poverenja, ve i brojni spoljni saradnici,
koji imaju vrlo slian pristup intranetu.
Pored nansijske dobi, brojni su movi za razne vrste namernih napada, meu koji-
ma su najee izazov i potreba za samopotvrivanjem, znaelja i maliciozne namere
kraa i oteenja informacija, pijunaa informacija itd.
Mogui naini odbrane od navedenih napada su slojevita anvirusna, ifrovanje, pro-
cedure jake autenkacije i korienje smart karca za generisanje digitalnog potpisa
i bezbedno uvanje kljueva kriptografskih parametara za jaku autenkaciju, primena
tehnologije digitalnog potpisa, korienje i esta izmena jakih kljueva, zata IP adresa
servera i dr. Najbolje rezultate daju kombinovani sistemi vieslojne zate po dubini, na
bazi analize rizika.
7.2. PRETNJE I NAPADI
7.2.1. Taksonomije pretnji i napada
Mogue su brojne taksonomije
16
agenata pretnji. Krajnji cilj svake taksonomije pre-
tnji je da specijalis zate i korisnici lake deniu i idenkuju razliite pova prome-
nljivih pretnji za IKTS. Taksonomija izvora pretnji deli pretnje na sluajne Sl i namerne
Na. Sluajne su nenamerne ljudske greke, otkazi hardvera i sovera, prirodni vanredni
16 Taksonomija (engl. taxonomy) - principi i teorija klasikacije na bazi strogo denisanih kriterijuma.
101
BO FOO
dogaaji itd., a namerne pretnje generiu ljudi. Za upravljanje rizikom od interesa je
procena svih pretnji koje izazivaju bezbednosne incidente. Na osnovu ove podele, pre-
tnje se klasikuju u 6 kategorija [32, 63, 94, 79, 97]: (1) maliciozne zloupotrebe ranjivos
IKTS, (2) kompjuterski kriminal, (3) nebriga, (4) ljudska greka, (5) pad sistema i (6) ucaj
okruenja.
Realizovana pretnja u IKTS naziva se napad, koji moe bi uspean ili neuspean,
zavisno od jaine napada i otpornos sistema zate. Generika taksonomija napada
prikazana je na Sl. 7.1.
Sl. 7.1. Generika taksonomija napada
Npdi se esto vre kroz pro-
gresivne korke, nlogno zikom
npdu (Sl. 7.2). Prvi kork je izvi-
nje i prikupljanje informacija,
zam, skeniranje ranjivos sistema,
to je od krinog znj z uspeh
npd. Drugi kork je dobijnje
pristup, koji moe im rzliite
ciljeve, ko to su kontrol, kra ili
unitenje podataka.
Taksonomija kombinovanih
napada prihvatljiva je za kvali-
tavnu analizu rizika u odnosu
na sledea tri kriterijuma: (1)
posledica ucaja: tetan t,
nekodljiv N; (2) izvor nas-
tanka: iznutra Un, spolja Va
i (3) nain izvoenja: sosciran
Sl. 7.2. Generiki tok napada na raunarske mree i
sisteme
102
KO FOJ
So, nesosciran Ns. U praksi se ovi napadi najee realizuju u kombinaciji i proiz-
vode ucaj na informacionu imovinu kroz osam kombinacija [91]:

, , , , , , ,
t o n t t s n t s a o n o a s n s a
S U SoVa N U N V N S U N S V N N U N N V
Redukovana taksonomija izvora pretnji za izbor kontrola zate, klasikuje izvore
pretnji na greke, prirodne dogaaje i namerne napade, obino maliciozne sa promen-
ljivim stepenom intenziteta, zavisno od pa, sposobnos, resursa, movacije, prilike i
namere napadaa (Tabela 7.1) [91].
Tabela 7.1. Zbirne karakteriske atributa namernih napada
TIP NAPADA
Lokalni zahteva se ziko prisustvo napadaa na mestu napada i razmetaja IKTS
Mreni napada inicira napad sa mree
SPOSOBNOST NAPADAA
Niska uobiajene sposobnos i ogranieno znanje o IKTS i ne koris posebne alate
Visoka
ima jednu/obe sposobnos: koris soscirane alate i/ili napredne IKT
tehnike
PRISTUP IS
Iznutra napada nije korisnik, nije privilegovan korisnik ili je privilegovan korisnik IKTS
Izvana napada je legalan ili nelegalan ili javni korisnik IKTS
NAMERA NAPADAA
Nemaliciozan nema nameru da ote IKTS, napada iz znaelje, dosade ili izazova
Maliciozan ima jasnu nameru da ote IKTS, ili izazove tetu organizaciji
RESURSI NAPADAA
Minimalni
(I) samoinicijavan i samomovisan; (II) radi nezavisno i (III) izvrava napad sa
minimalnim raunarskim resursima
Srednji
(I) deo grupe/organizacije, koje se ne bave komercijalnom pijunaom,
kriminalom, ili terorizmom); (II) radi pod ucajem grupe/organizacije i (III)
izvrava napad sa prosenim resursima
Znaajni
(I) deo grupe/organizacije, ukljuujui obavetajne, informacionog ratovanja
ili dravnosponzorisanog terorizma; (II) radi direktno pod upravom grupe/
organizacije i (III) napada sa znaajnim resursima
103
BO FOO
Kljuni povi napada mogu se svrsta u sledee grupe: destrukcija, izmena podata-
ka, prekid servisa (DoS, DDoS
17
), pijunaa i neovlaeno korienje [91].
Op movi napadaa hakera, krakera, vandala, kompjuterskih kriminalaca i dr
su znaelja, novac, mo, osveta i sl. Kd posebnih mova presudni su intelektualni
izazov, radoznalost, avanturizam, zabava, potreba za trijumfom, opijenost sopstvenim
znanjem, kompenzacija oseaja manje vrednos, oseaj elizma, prisak hakerske or-
ganizacije, pres i dr. Hakeri se prema kriterijumu namere mogu podeli na kreavce,
destrukvce i kriminalce. Kreavci najee ne prave tetu, dok je destrukvci prave
unitavaju, briu i menjaju podatke. Kriminalac je pino mlad, inteligentan, uzoran i od-
govoran radnik na poslu, spreman na prekovremeni rad, visoko movisan i istraivaki
orijensan. Ima razvijeno logiko miljenje, dobro poznaje i koris RS, samo mu treba
jak mov, da postane pohlepan, osvetoljubiv i sl. Sredstva za napad ine tehniki kapa-
cite i nivo vene koju hakeri poseduju. Prilika za napad je iskorisva ranjivost, koja se
teko odreuje zbog mogunos postavljanja raznih zamki (zadnjih vrata, trojanaca,...).
Npdi mogu bi usmereni na odreene hostove (prislukivanje, otmica sesij,
skeniranje ranjivos, probijanje lozinki, odbijanje servisa i drutveni inenjering),
infrstrukturu RM ili nsumice prema hostovima. Drutveni inenjering se moe koris
za msovne neselekvne npde spm (neeljene poruke) i slanje ili ubacivanje mali-
cioznog kod. Vektor napada poslednjih godina pomera se sa relavno dobro zaenih
servera lokalnih mrea, na web servere, baze podataka na webu i pojedinane
nezaene raunare umreene na Internet (Tabela 7.2).
Tabela 7.2. Pomeranje vektora napada sa Interneta
1996. godine 2009/2010. godine
Hakeri iz hobija Profesionalni hakerski napadi na web servise
Prevaran na web sajtovima Krganizovani kompjuterski kriminalci
Virusi i drugi maliciozni programi Napadi odbijanja servisa (DoS, DDoS)
Retki napadi na web servere Kraa identeta, iznuivanje, ucene
Stalni napadi na web servere i drutvene mree
U toku 2008. godine broj malicioznih programa u opcaju [104] iznosio je preko mili-
on, od kojih je veina i kreirana iste godine [96]. U 2008. godini preko 50% svih napada
na IKTS organizacija inili su virusi i napadi iznutra koji su u opadanju, ali i dalje najei
uzrok kompjuterskog incidenta, (Sl. 7.3) [96].
17 Dinail of Services/Distributed Dinail of Services odbijanje/distribuirano odbijanje izvravanja ser-
visa.
104
KO FOJ
Sl. 7.3. Kljuni povi incidenata izraeni u procenma (2008.) [96]
U 2008. godini Oracle je idenkovao osam sigurnih naina za hakerisanje Oracle
web baza podataka. Tipian metod hakerskog napada ine faze pripreme i planiranja,
izbor cilja (sakupljanje informacija), planiranje napada, izbor metoda/tehnike napada
(rutkit, trojanac, brisanje podataka...) i izbor mera samozate. Glavne tehnike za napad
su rutkit tehnike koji prikrivaju prisustvo u raunarskom sistemu i postavljanje zadnjih
vrata za kasniji ulazak u sistem. Samo u 2009. godini registrovano je 25 miliona novih
malicioznih programa [103], od ega ak 66% novih pova trojanaca za krau novca iz
banaka, kao i lanih, malicioznih AVP (Sl. 7.4). Trokovi zloupotrebe IKTS deniu se kao:
potreban rad da se analizira, popravi i ois incirani sistem ili gubitak produkvnos i
drugi trokovi otklanjanja posledica napada, koji ne ukljuuju prevenvnu zatu (na-
bavku AVP, obuku, trokove osiguranja i trokove gubitka ugleda) [96].
Rezulta istraivanja nansijskih aspekata zloupotrebe IKTS (Computer Economics,
2007.), pokazuju da su za deset godina (1997 2007) porasli sa 3,3 mlrd$ na 13,3 mlrd$
[96]. Napadi malicioznim
programima neprekidno
rastu, a tetne posledice
se menjaju iz godine u go-
dinu, od jedne do druge
staske analize. An
virusna kompanija Panda
Security Labs je 2009.
godinu objavila da je od
januara avgusta 2008.
detektovala vie podvrsta
malicioznog sovera nego
u prethodnih 17 godina
[96]. Kekuje se i povean
Sl. 7.4. Zastupljenost malicioznih napada u 2009. [96]
105
BO FOO
broj malicioznih programa koji napadaju nove operavne sisteme Leopard, Windows 7
i Ubuntu [96]. U toku 2009. svakog dana na Internetu javljalo se proseno 37.000 novih
pova malicioznih programa (malware) i napada, od kojih je njih 40% menjalo svoju
deniciju u prva 24 asa [96]. U prvoj polovini 2010. godine, maliciozni programi na In-
ternetu su premaili po broju svaku polugodinju produkciju do sada. Procene su da se
dnevno generie oko 63.000 novih, od kojih preovlauju AutoRun i trojanac koji krade
lozinke [96]. Istovremeno spam je dosgao najvii nivo u tree, kvartalu 2009. 175
milijardi spam poruka. Tipovi spama variraju u razliim dravama. Nokacija statusa
isporuke ili prihvatanje neisporuke spama (nondelivery receipt spam) najvie se koriste
u SAD, Italiji, apaniji, Kini, Brazilu i Australiji. Maliciozni spam ili sve to se sa prilogom,
koji unosi virus ili trojanca, najire su zastupljeni u Kolumbiji, Indiji, :unoj Koreji, Rusiji
i Vijetnamu. U Argenni ima esnaest pova spama, a u Italiji samo est. Takoe,
ponovo su oivele dve najvee botnet mree na svetu Storm Worm i Kraken. U Prilogu
5. data je kratka istorija razvoja malicioznih programa.
7.3. PREGLED MALICIOZNIH PROGRAMA
Uvoenje malicioznih programa sa Interneta smatra se konstantnom pretnjom za
IKTS. Maliciozni program je kd koji se tajno ubacuje u drugi program sa namerom da
se nanese teta, unite podaci, pokrenu destrukvni programi ili kompromituje bezbe-
dnost informacija. Pod tetom se podrazumeva svako ometanje normalnog funkcioni-
sanja IKTS i procesa koje podrava. Malicioznost je odreena namenom, a ne algori-
tmom ponaanja kda. Na primer, crv W32.Welchia se ponaa i izgleda kao maliciozni
kd, a zapravo preuzima poslednje Microso popravke i uklanja crv W32.Blaster. Grani-
ce izmeu raznih malicioznih kdova su sve slabije. Najopasnija je sprega lanih virusa
(hoaxes) i trojanaca, jer ne incira sistem, uporna je, teko se otklanja, a distribuira
viruse i trojance [96].
Virusom, crvom i trojancem, sistem se moe zarazi na vie naina preko USB, CD,
DVD i sl.; priloga epote ili preuzetog sadraja sa Interneta; web lokacije sa instaliranim
virusom ili skriptom koji generie viruse ili trojance; iskoriavanjem ranjivos sistema
itd.
7.3.1. Osnovne vrste savremenih malicioznih programa
Maliciozni kdovi mogu uca na sve aspekte zate. Najee se prema vrs na-
pada ili funkcionalnos dele na viruse, crve, trojance, mobilne kdove i kombinovane
napade. Ranije je ovakva podela bila mogua, ali su ovi programi evoluirali i esto
kombinuju vie funkcionalnos. U Tabeli 7.3. da su osnovni kriterijumi klasine podele
malicioznih programa umnoavanje, samorazvoj i parazitnost [111].
106
KO FOJ
Tabela 7.3. Uporedne karakteriske nekih malicioznih programa
7.3.2. Taksonomija virusa
Kd brojnih denicija virusa najee se koris prva
18
: Raunarski virus je program
koji incira ostale programe, modikujui ih tako da ukljuuju njegovu naprednu
kopiju. Sa inciranog podruja, virus se moe iri kroz RS i RM, koristei autorizaciju
svakog korisnika da incira njihove programe. Svaki program koji se incira, takoe se
ponaa kao virus pa se infekcija poveava. Raunarski virus je segment mainskog
kda, obino od 2004000 bajta, koji e nakon akviranja kopira svoj kd na jedan ili
vie programa domaina. Izvravanjem programa domaina, izvrava se incirani kd
i virus nastavlja da se iri.
19
.
Raunarski virus je dizajniran da se replicira, pravi svoje kopije i distribuira ih u druge
datoteke, programe ili raunare sa ciljem da napravi tetu. airi se uglavnom tako to se
ugnezdi u drugu datoteku, a zam je brie ili menja. Virus iz inciranog raunara u RM
trai drugi raunar da ga zarazi
20
.
Viruse generiu gotovo iskljuivo tehniki virtuozi radi malicioznih namera, komer-
cijalne dobi i hakerskog ratovanja. Generalno, svi virusi su maliciozni, poto i tzv. be-
nigni, iako nisu tetni, zauzimaju resurse raunara i vre neeljene radnje. U principu,
bilo koji program moe prenosi viruse, ali je to najee program namenjen za vei
broj korisnika. Neki virusi napadaju samo odreene, dok drugi napadaju vie programa.
Taksonomije virusa su brojne, a broj virusa u stalnom porastu. esta klasikacija je na
viruse BOOT sektora, komandnog procesora, univerzalne infektore datoteka, usmerene,
makro i lane viruse
21
.
Virusi BOOT sektora kae se uz master boot record (MBR) u boot sektoru vrstog
diska (HD), jedinstvenoj lokaciji na HD, gde su smeteni osnovni ulazno/izlazni sistem
(BIKS) raunara i program za podizanje KS. Ako je HD inciran u drajveru, virus se moe
18 &red Cohen, Computer Viruses: Theory and Experiments, &red Cohen & Associates, 1984.
19 Aycock :ohn, Computer Viruses and Malware, Springer, 2006.
20 :akobsson Markus, Zulkar Ramzan, Crimeware: Understanding New Aacks and Defenses, Addison
Wesley Professional, 2008.
21 Mell, P., Kent, K., Nusbaum, :., Guide to Malware Incident Prevenon and Handling, Special Publica-
on 800-83, Novembar 2005.
107
BO FOO
akvira pre bilo kojeg dela KS, kada se raunar podie. Kvi virusi se nalaze u najdu-
bljem delu KS, mogu preuze kontrolu i nadgleda svaku operaciju, a pokreu se pre
AVP i na taj se nain uspeno kriju. Uklanjaju se jedino reinstalacijom KS sa originalnog
butabilnog CD, zaenog od snimanja, uz paralelnu upotrebu AVP. Kvi virusi su jed-
nostavni za kreiranje, relavno dobro sakriveni (ako ne prikazuju poruke na ekranu), ali
se lako odstranjuju. Danas su retki zbog hardverske zate i autorizacije da bi se moglo
upisiva u boot blok (Sl. 7.5). Klasini primeri ovih virusa su Michelangelo i Stoned.
Sl. 7.5. Prikaz neinciranog i inciranog boot sektora
Virusi komandnog procesa slini su prethodnim, osim to se uitavaju malo kasnije
u procesu podizanja KS. Njihova mo nad KS je samim m manja. Kada se otkriju, lako
se unitavaju.
Univerzalni virusi infektori datoteka su najira kategorija virusa, pored virusa boot
sektora i MBR. Najei prenosioci su izvrne datoteke, koje ima svaki KS (u Windowsu
su to .com i .exe) i datoteke koje sadre izvrni kd (Word i Excel sadre samoizvravajue
makroe), za koje se ovi virusi lepe i nemaju veze sa sistemskim delom KS. Datoteke .com
su reliktni ostaci CP/M KS i jednostavne su binarne strukture; .exe su savremenije, ek-
sibilnije i tee ih je incira. Nakon uitavanja prvog zaraenog programa, virusi se sele u
memoriju i ekaju naredni izvrni program da ga inciraju. Drugi metod ispoljavanja ovih
virusa je izmena naina na koji raunar otvara neku datoteku, umesto izmene aktuelnog
programa koji akvira datoteku. U ovom scenariju prvi se akvira virus, a onda program.
Glavna strategija nastupa ovih virusa je, da od izvrne datoteke naprave trojanca. Na-
jpoznaji virusi iz ove kategorije su Jerusalem i Cascade.
Viedelni virusi inciraju i programske datoteke i boot sektore. Takoe, mogue je
napravi viruse koji inciraju diskove. Neki od virusa imaju sposobnost premetanja
izmeu boot sektora i programa, to ih ini teim za analizu, jer je nemogue napravi
test datoteke bez inciranja HD. Programski virusi koriste DKS-ove funkcije da bi bili re-
zidentni, smetaju se na nie memorijske lokacije, dok ostali programi koriste memoriju
iznad njih. Virus koji modikuje memorijski alokacioni lanac obino sebe pomera na vrh
nominalne memorije, a pokaziva vrha pomera nanie. Virusi koji inciraju boot sektor
obino zauzimaju vrh memorije, ali pri tom ne rezerviu taj prostor da bi se zali. Kni
108
KO FOJ
ne mogu bi otkriveni postupkom provere slobodne memorije, ali veina velikih pro-
grama sruie sistem, kad se prepiu preko virusa. Kdreeni virus traga za slobodnom
memorijom u sistemskoj zoni HD, koju koriste mnogi programi i vrlo je verovatno da e
srui veinu sistema.
Sloeni virusi su veoma opasni jer kombinuju tehnike rasprosranja, razmnoavanja
i ugroavanja, pa su vrlo eksibilni. Vrhunac su tehnologije programiranja virusa.
Usmereni virusi su strogo namenski programi za unitenje nekog broja odreenih
pova datoteka.
Makrovirusi, preovlaujui povi virusa, u suni su programi, napisani u makro je-
zicima, najei za MS Word, Excel, O ce, Access baze i dr. Sami se zakae za dokument,
a koriste makro programski jezik neke aplikacije za izvravanje i propagaciju. Preuzimaju
kontrolu nad sistemom kada se otvori ili zatvori virusom incirana datoteka. Imaju te-
ndenciju brzog irenja, jer korisnici esto koriste aplikacije sa makro funkcijom. Prvo
zahvataju standardne funkcije programa, a onda inciraju svaku narednu datoteku koja
se otvori. Mogu ote i sam sadraj datoteke. Najpoznaji makrovirusi su Concept,
Marker i Melissa.
Lani virusi daju lana upozorenja virusnog napada, sa alarmantnim upozorenjem
da je raunar napadnut razornim virusom i da se zahteva trenutna akcija za adekvatnu
zatu raunara. es su koliko i stvarni virusi. Kbino izazivaju neznatne tete, ali troe
operavno vreme. Neki lani virusi mogu prevari korisnika da izmeni konguraciju KS
ili izbrie datoteku. Primeri ovih virusa su Good Times i Bud Frogs. Posebno su opasni u
kombinaciji sa trojancem.
ifrovani virusi sakrivaju svoj kd ili ak inciranu datoteku ifrovanjem. :edini
tekst koji se moe vide unutar incirane datoteke je procedura deifrovanja. Virusi
su najee ifrovani nekom jedinstvenom procedurom, kao to je XOR-ovanje svakog
bajta sluajno izabranim kljuem, za svaku novu kopiju. Detekcija ovih virusa zasniva se
na pronalaenju procedure za deifrovanje na poetku virusnog kda.
Tipovi virusa su brojni: virusi rezidentni u memoriji, koji se ne gase kada se jednom
pokrenu; retro virusi, koji zaobilaze operacije specine za AVP; stelt i tunel virusi, koji
izbegavaju AVP, smetaju se u memoriji i blokiraju normalan rad i dr. [96].
7.3.2.1. Mehanizmi irenja virusa
Savremene RM podsu irenje virusa . Pre pojave umreavanja raunara virusi su
imali mnogo manje uslova da se ire (jedino zaraenom disketom i sl.). Pojavom intranet
mrea, virusi se mogu iri velikom brzinom i na mnogo sosciranije naine. Vano je
uoi da apsolutne zate od novih i nepoznah virusa nema. Najvei problem je sam
KS koji je uglavnom ranjiv, bez obzira na p. Preterana agresivnost virusa u nastojanju
da se proiri, moe izazva panju korisnika zbog poveane akvnos procesora. S druge
strane, ako je virus isuvie diskretan, nee uspe da incira vei broj datoteka.
109
BO FOO
Samoumnoavanje u postojei izvrni kd je kljuni faktor za denisanje virusa. Kada
je pokrenut, virus pokuava da se ugradi u izvrni kd i ukoliko uspe, za taj kd se kae
da je inciran. Pokrenut incirani kd moe da incira neki drugi kd. airenje virusa
je ogranieno na prenosne medije, u koje spadaju i izvrne datoteke, koje se prenose
preko Interneta. Standardne izvrne datoteke su esta meta virusa, koji se izvravaju
sami ili ih pokree korisnik raunara. Razlikuju se dve glavne klase mehanizma infekcije
virusom direktni i indirektni infektori. Sa aspekta ekasnos virusi se dele na brze i
spore infektore
22
.
Direktni infektori su virusi koji akvno tragaju za datotekama, da ih zaraze. Pri tom,
mogu pretraiva tekui disk, direktorijum ili selektovani direktorijum. Zam, se uitava
i izvrava incirana datoteka. Ne ostaju u memoriji i nisu univerzalni, jer mehanizam
inciranja nije preterano ekasan. Kigledna je dodatna akvnost procesora, posebno
kada su sve datoteke zaraene. Indirektni infektori pri pokretanju programa inciranog
virusom, smetaju virus u memoriju, preusmeravaju jedan ili vie interaptova i potom
izvravaju originalni program. Veina ovakvih virusa incira svaku datoteku, koja je
uitana radi izvravanja, dok neki inciraju svaku izvrnu datoteku, koja je uitana, bez
obzira na razlog uitavanja. Brzi infektori inciraju datoteke koje se izvravaju i one koji-
ma se pristupa. Koriste i AVP da zaraze datoteke koje oni otvaraju zbog provere na virus,
ali ne mogu otkri njihovo prisustvo u memoriji. Spori infektori inciraju samo datoteke,
koje su u fazi kreiranja ili modikovanja i tako zaobilaze AVP.
Infektori izvrnih datoteka najee koriste tehnike za prepisivanja, dopisivanje is-
pred i dopisivanje iza izvrne datoteke. Postoji metod gde se inciraju pratee datoteke,
a ne sami izvrni programi. Tehniku prepisivanja koriste virusi, koji prepisuju sadraj in-
cirane datoteke. Korisnik, pri pokretanju ove datoteke, zapaa da neto nije u redu sa
programom, poto se nikada ne izvrava, jer vie ne postoji. Tada je ve kasno da se
povra legimni kd. Dopisivanje ispred izvrne datoteke koriste virusi, koji kopiraju svoj
kd na poetak incirane datoteke. Kvo je sloenija tehnika od prepisivanja i obino ne
unitava program na koji se dodaje. Pri pokretanju zaraene izvrne datoteke, pokree
se maliciozni kd, koji nakon izvrenja prebacuje kontrolu na legimni kd. Korisnik ne
mora da prime nikakvo udno ponaanje programa (Sl. 7.6).
Sl. 7.7. Dopisivanje ispred izvrne datoteke
22 Mell, P., Kent, K., Nusbaum, :., Guide to Malware Incident Prevenon and Handling, Special Publica-
on 800-83, Novembar 2005.
110
KO FOJ
Poto ne menja sadraj datoteke koju incira, velika je verovatnoa da je korisnik u
mogunos da ois program od zlonamernog kda.
Tehniku dopisivanja iza izvrne datoteke koriste virusi, koji svoj kd dodaju na ve
postojei legimni kd programa. Virusi menjaju poetak datoteke, koju su zarazili i
naprave komandu za skok do sekcije, koja izvrava virusni kd (Sl. 7.7).
Sl. 7.7. Dopisivanje na kraju izvrne datoteke
Nakon to se zlonamerni kd izvri, kontrola se vraa na legimni program. Kao i
kod tehnike dodavanja ispred programa, legimni kd se moe povra uklanjanjem
virusa.
Dodeljivanje virusu imena .com datoteke, tehnika za akviranje virusa u Windows
KS, vie nije dominantna na Windows KS, zbog upotrebe GUI interfejsa. Programe
predstavljaju ikone i manja je verovatnoa da se pokrene pogrean program. Meum,
mnogi korisnici i dalje kucaju u Run dijalogu notepad, regedit ili .com komande, koje i
dalje prvo pokreu programe sa .com ekstenzijom.
Infektori datoteka makro virusi koriste moan skript jezik VBA (Visual Basic for
Applicaons) za pisanje makroa, koji se nalazi u MS K ce, WordPerfect K ce, Per-
fectScript, KbjectPAL, AutoCAD i drugim programima. Ako se pri pokretanju ovih da-
toteka omogui izvravanje makroa, teta koju zlonamerni makroi mogu napravi moe
bi ogromna.
7.3.3. Karakteristike crva
Crvi imaju nekoliko ish karakteriska kao i virusi samo-umnoavaju se, ali kroz
neto drugaiji proces, zasebni su programi i ne zavise od izvrnog kda. aire se iskljuivo
preko RM (tzv. mreni virusi). Tipian crv se pravi modularno da lake moe promeni
funkcionalnost i sadri metod za upad, metod za irenje, algoritam za biranje mete, me-
tod za pretraivanje i metod napada (teret), a svaki modul se nalazi u strukturi velikog
broja crva (Sl. 7.8).
111
BO FOO
Sl. 7.8. Generika struktura crva
Kada ue u sistem, crv mora da kopira ostatak svog kda u sistem. U sluaju da je
preuzet kao deo datoteke ili kao zaraena datoteka, metod upada i irenja su is proces.
Ako crv samo koris neku ranjivost sistema, tada jo nije u potpunos kopiran na sistem.
Najpopularniji metod za irenje crva su mehanizmi za transfer datoteka (&TP, T&TP, HTTP
i drugi protokoli).
:ednom pokrenut u sistemu, crv poinje da trai nove rtve za napad. Koristei
resurse sistema kojeg je incirao, moe da napadne email adrese, umreene raunare,
mrene diskove i ostale ureaje. Mogu da skeniraju IP adrese u potrazi za rtvama, a oni
ekasniji skeniraju lokalnu mreu i IP adrese u blizini zaraenog sistema. Ukoliko sledea
rtva nije imuna na primenjeni metod za napad, crv se prenosi na rtvu, izvrava svoj
kd i kopira se na sistem nove rtve.
Teret ili metod napada predstavlja najbitniji deo kda, koji se izvrava kada crv
uspeno zarazi ciljni sistem. Ako crv ne pravi nikakvu tetu, ve se samo iri sa jednog na
drugi sistem, onda nema teret. Neki od napada koje crv moe da izvri su otvaranje zad-
njih vrata (backdoor) za udaljenu kontrolu sistema, zombiranje raunara ili korienje
raunarskih resursa za razbijanje ifre. Mogunos za napad su brojne i ograniene su
samo matom napadaa.
7.3.4. Kombinovani napad
Kombinovani napad (Blended Aack) je sluaj malicioznog kda koji koris viestruke
metode za irenje. Pozna Nimda crv je primer kombinovanog napada, a za irenje
koris [100]:
Email: korisnik na ranjivom hostu otvori inciran email prilog, Nimda trai email
adrese na hostu, a zam alje svoje kopije na te adrese;
Windows zajednike datoteke: Nimda skenira hostove traei nezaenu zaje-
dniku datoteku, zam koris NetBIOS kao prenosni mehanizam da incira
datoteke na tom hostu; kada korisnik akvira neku inciranu datoteku, ova e
akvira Nimdu na tom hostu;
Web serveri: Nimda skenira web servere, traei poznate ranjivos u Windows
sistemima, na koje pokuava prene svoju kopiju i incira njih i datoteke;
Web klijen: Ako neki ranjivi web klijentski pretraiva pose neki web server koji
je ve inciran sa Nimda, radna stanica klijenta e, takoe, bi incirana.
112
KO FOJ
Tendencija korisnika je da veinu kombinovanih napada svrstavaju u crve, kao Nimdu,
koja sa tehnikog aspekta ima karakteriske virusa, crva i mobilnog kda.
7.3.5. Trojanci i ostali maliciozni programi
Trojanski konj (trojanac) se predstavlja i ponaa kao benigni program, koji u poza-
dini izvrava maliciozne akvnos. Sastoji se od serverske komponente, koja se ubacuje
u raunar korisnika i klijentske komponente, kojom upravlja napada. Klasian primer
ubacivanja trojanca je program, koji postavlja login upitnik i oekuje da korisnik unese
ime i lozinku. Kada korisnik unese ove podatke, program ih alje napadau, a korisniku
izbacuje greku pri prijavljivanju na sistem.
Napadai su razvili brojne tehnika da prikriju prisustvo trojanaca. Neke su jednos-
tavne, ali dosta uspene kod nedovoljno strunih korisnika, kao npr. promena imena
izvrnih datoteka. Veina korisnika Windows KS zna da ne treba pokreta izvravanje
sumnjivih .exe datoteka. Napadai, skoro bez izuzetka, pokuavaju da kamuiraju .exe
datoteke. :ednostavan nain za ovo je davanje imena izvrnoj datoteci sa, npr. .txt ek-
stenzijom. Korisnik, koji je podesio sistem da ne prikazuje ekstenzije, videe samo .txt
ekstenziju. Neto sloeniji nain je stavljanje velikog broja praznih mesta u ime datoteke,
tako da i korisnik, koji ima ukljueno prikazivanje ekstenzija, moe previde pravu ek-
stenziju.
Za razliku od Windows KS, UNIX i na njemu bazirani sistemi, ne pridaju veliki znaaj
ekstenzijama datoteka. Mnogi povi datoteka za Windows plaorme se mogu upotrebi-
za skladitenje i pokretanje izvrnog i skript kda. Pored najpoznaje .exe ekstenzije,
trojanac koris i .api, .bat, .wma, .chm, .com, .cpl, .dll, .sys, .scr i druge ekstenzije
23
.
Trojanci koriste i tehnike oponaanja legimnih imena procesa. Na Windows plat-
formi, skoro u svakom trenutku, u lis akvnih procesa Task Managera mogu se vide
nazivi kao iexplorer.exe, explorer.exe, smss.exe, svchost.exe, system, services.exe i drugi.
Trojanci se esto kriju izmeu ovih procese, ak i sa unikatnim imenima kao win.exe,
anvirus.exe i slino, koje administrator oekuje da vidi u sistemu. atavie, ako napada
svog trojanca nazove imenom procesa koji je vitalan za rad Windowsa, Windows nee
dozvoli da ga administrator ugasi. Druge tehnike su dosta sloenije i mogu se oslanja,
npr. na izmenu izvornog kda legimnih programa ve instaliranih na sistemu. :edna od
esto korienih tehnika je udruivanje dva, ili vie procesa, od kojih je jedan trojanac, a
ostali benigni legimni programi. Za ovo se koris neki wrapper program EliteWrap,
Saran Wrap, TOPV4, Trojan Man itd. Pokretanjem ovog programa dolazi do razdvajanja
na vie zasebnih procesa, koji mogu da se vide u Task Manageru.
23 www.sophos.com/blogs/gc/g/2008/08/08/up-to-1800-profiles-hit-by-malware-attack-says-face-
book/, (Poseeno: 2.12.2009.)
113
BO FOO
Zadnja vrata (backdoor, trapdoor) predstavlja svaki mehanizam, koji zaobilazi norma-
lnu kontrolu pristupa u sistemu, pri emu moe da ostvari dovoljno privilegovan pristup
sistemu. Programeri esto namerno stvaraju zadnja vrata u kdu, radi legimnih razloga
(npr. da bi izbegli ostavljanje tragova u logovima pri tesranju i razvoju programa). U sa-
mostalne backdoor programe spadaju i svi RAT (Remote Administraon Tool) programi,
koji koriste brojne slube tehnike podrke proizvoaa programa i administratori za
udaljeni pristup i rad na korisnikovom raunaru. Backdoor i trojanac mogu se slino
ponaa, ali postoje bitne razlike. Backdoor je program koji samo omoguava zaobilazni
pristup raunaru, dok trojanac omoguava to isto, ali varajui korisnika da je neki korisni
program. Backdoor napadau moe da obezbedi sledee vrste pristupa:
1. eskalaciju lokalne privilegije, promena svoje privilegije u administratorske,
2. udaljeno izvravanje komandi na napadnutom raunaru,
3. udaljeni pristup komandnoj liniji i izvravanje svih radnje na sistemu i
4. udaljena kontrola GUI napadnutog sistema i kontrola mia i tastaturu.
Svi ovi metodi se zasnivaju na kontroli napadnutog raunara, uglavnom sa udaljene
lokacije. Naini instaliranja backdoor na neki sistem su razlii. Napada moe iskoris
neku uobiajenu greku u sistemu ili ranjivost konguracije, ui u sistem i potom sam
instalira backdoor za sledei ulazak, pomou virusa, crva ili malicioznog skript kda koji
se izvrava u pretraivau.
pijunski program (Spyware) je program koji sakuplja informacije sa raunara ko-
risnika (npr. korisnika imena i lozinke, e-mail adrese, bankovni rauni, licence, itd.) i
prosleuje ih napadau. Pri denisanju pa malicioznog programa odluuju detalji. Ako
se od korisnika na pasivan nain saznaje korisniko ime i lozinka, u pitanju je spyware, a
ako je ukljuena obmana korisnika u pitanju je trojanac.
Logike bombe su sline trojancu po metodi napada. Uglavnom se sastoje od dva dela
tereta, koji izvrava neki maliciozni kd i okidaa dela kda koji pokree izvravanje
malicioznog tereta. Kkida se moe akvira i u sluaju odsustva nekog dogaaja.
Logike bombe mogu da zavise od izvravanja nekog drugog programa, a mogu bi i
napravljene kao samostalne aplikacije, od ega zavisi da li su parazitske ili ne.
Maliciozni skriptovi (mobilni kdovi) dovode do prenosa ili izvravanja malicioznog
kda. Tipian predstavnik je Cross Site Scripng napad na web aplikacije. To je akvni
program koji se prenosi sa udaljenog sistema na lokalni, a zam izvrava na lokalnom
sistemu bez eksplicitne instrukcije korisnika. esto slui kao mehanizam za prenos viru-
sa i crva ili trojanaca do radne stanice korisnika. U drugim sluajevima, koris ranjivos
sistema da izvri svoje akcije, kao to su neovlaen pristup podacima ili kompromitacija
ruta. Popularni prenosioci mobilnih kdova su Java applets, AcveX, JavaScript i VB-
Script.
114
KO FOJ
7.3.6. Metodi skrivanja malicioznih programa
Autori malicioznih programa koriste brojne anforenzike aktvinos
24
da se zate
od AVP, korisnika i administratora, kao to su samozata od detekcije na bazi potpisa,
forenzike analize kda i detekcije malicioznog kda u sistemu i ometanje funkcional-
nos AVP, barijera, IDPS i drugih programa za zatu.
Polimorzam je proces kroz koji maliciozni program modikuje svoj kd, da bi izbe-
gao detekciju, pri emu ne menja funkcionalnost. Kvim se virusni kd moe dinamiki
menja, svaki put kada je virus pokrenut. U tom sluaju AVP, nauen da prepoznaje
samo ranije otkrivene potpise malicioznog kda nee ga otkri. Najjednostavnija
tehnika polimorzma sastoji se u sluajnoj izmeni imena promenljivih i imena funkci-
ja, pre inciranja novih datoteka. Drugi metod se sastoji u dodavanju dela kda koji
nema znaajnu ulogu, npr. dodavanje broja i kasnije oduzimanje iste vrednos od neke
promenljive. Naprednija tehnika je izmena redosleda, kojim se izvravaju instrukcije u
kdu. U isto vreme, potrebno je zadra nepromenjenu funkcionalnost programa. Po-
limorzam se sve ree via kod modernih malicioznih programa, poto, npr. trojanci
uglavnom nemaju sposobnost irenja, pa nije ni potrebno da menjaju svoj kd.
Metamorfoza je konstantno menjanje funkcionalnos virusa pri njegovom irenju,
obino na jednostavne naine, a da bi se izbegla detekcija. Kd 1992. godine mnoge AV
kompanije su ugaene, jer nisu uspele da razviju efekvne odbrambene mehanizme
prov polimorfnog i metamorfnog kda, koji je u to vreme poeo masovno da se koris.
Posebna polimorfnu tehnika je ifrovanje kda.
ifrovanje kda virusa primarno slui za onemoguavanje ispivanja kda. aifruje se
itav kd, osim dela instrukcije za deifrovanje kod izvravanja. Kbino se koris sluajno
izabrani klju za ifrovanje, koji se zapie u kdu. Prvi alat za jednostavno dodavanje
polimorfnog ifrovanja je MtE (Mutaon Engine, 1992).
Maskiranje je tehnika koja se upotrebljava uglavnom za spreavanje analize. Kako se
sve vie detekcija malicioznog kda zasniva na ponaanju programa, a ne kdu, tehnika
polimorzma i ostale vie nisu od kljunog znaaja autorima virusa.
Tehnike sakrivanja se odnose na prikrivanje prisustva malicioznog programa na
raunarskom sistemu. Primivan metod, koji se esto koris kod jednostavnih virusa,
sastoji se u postavljanju atributa hidden. Na ovaj nain, datoteka se nee prikaza u
direktorijumu, ako je sistem podeen da ne prikazuje sakrivene datoteke. Napredniji
metod se sastoji u presretanju zahteva AVP za sadrajem datoteke i prezentovanje iste
verzije datoteke AVP skeneru.
Rutkit tehnike (Rootkits) se sve vie uspeno koriste za sakrivanje akvnos tro-
janaca, jer veina korisnika Windows KS koris administratorske naloge. Ktkriveni su
tokom 2004. godine u istraivakoj laboratoriji kompanije Kasperski. Prvi rutkit se nije
mogao vide u Windows lis akvnih procesa i datoteka i predstavljao je revoluciju
24 Namenjene za skrivanje tragova i zatu od otkrivanja tehnikama i alama digitalne forenzike.
115
BO FOO
u industriji virusa [110]. Sam termin rootkit poe od Unix alata, koji su omoguavali
korisniku pristup administratorskim (root) komandama, bez posledica i znanja admini-
stratora sistema. Danas, termin rootkit pokriva grupu alata i tehnika koje se koriste za
sakrivanje ubacivanja i prisustva trojanaca, virusa i crva u sistemu. Kvde se podrazume-
va i sakrivanje na lis akvnih procesa, u kljuevima registara kao i u skenerima mrenog
saobraaja. Snaga rutkitova lei zapravo u slabos AVP, koji uglavnom ima privilegije kao
i svi drugi programi na sistemu. Ako korisnik nema pristup nekim resursima sistema,
nema ni AVP. Princip sakrivanja pomou rutkita je is kao i kod primivnih DKS stelt
virusa. Kompresija je najzastupljeniji i moda najstariji savremeni metod samozate
pakovanja kda, jer je, u prvim godinama razvoja malicioznog programa kada se veliina
HD merila u megabajma, veliina datoteke bila jako bitna. Kompresovan kd je tee
pregleda i istrai da li je maliciozan. Takoe, mnoge varijante crva i virusa se razlikuju
u samo nekoliko linija kda, ali nakon kompresije, potpuna struktura datoteke se menja
i AVPu je tee da otkrije modikacije. Mnogi rutkitovi modikuju lanac sistemskih pozi-
va (Execuon Path Modicaon). Kada se naie na proces, koji nosi informaciju o nekom
akvnom procesu, rutkit ga presree i modikuje. Uobiajena rutkit tehnika je i DKKM
(Direct Kernel Object Modicaon), koja se najbolje opisuje kao insajder koji menja in-
formacije ili komande jo na njihovom izvoru. Kvi rutkitovi menjaju sistemske podatke.
Mogue je sakri i itave datoteke u alternavnim tokovima podataka ADS (Alter-
nate Data Streams). ADS predstavljaju malo poznatu osobinu NT&S sistema datoteka.
Datoteke sa ADS je jako teko otkri, jer dodatne informacije zapisane u ADSu opera-
vni sistem ne uraunava u veliinu datoteke. atavie, kada se pokrene, npr. program
koji nosi nekog trojanca u ADS, njegovo prisustvo se nee manifestova u Windows Task
Manageru [114].
Deakvacija AVP, koji je akvan na zaraenom sistemu, jo je jedan nain za skriva-
nje malicioznog kda. Istog trenutka kada se sistem zarazi, maliciozni kd pokuava da
ugasi procese koji pripadaju AVP programu. Na ovaj nain, AVP nee aurira najnovije
potpise virusa. Dobar primer predstavlja ProcKill trojanac, koji sadri listu od preko 200
procesa koji pripadaju AVP i programima barijera. Kada zarazi sistem, ProcKill redom ita
svoju listu i ukoliko nae pokrenut proces sa liste, pokuava da ga ugasi [112]. Sloeniji
metod, kojeg koriste mnogi savremeni crvi, sastoji se od blokiranja svake komunikacije
izmeu sistema i servera poznah AV kompanija. Kako se AVP i dalje vidi u lis procesa
u sistemskoj lis poslova (system tray), korisnik i ne sumnja da je zaraen. Kvu tehniku je
prvi koriso MTX virus/crv, 2000. [111]. Na Sl. 7.9 zbirno su prikazane najee tehnike
samozate koju koriste maliciozni programi.
116
KO FOJ
Sl. 7.9. Najee koriene tehnike samozate malicioznih programa [111]
7.4. DISTRIBUCIJA MALICIOZNIH PROGRAMA
Veoma mali procenat malicioznih programa se ne prenosi putem Interneta. Takoe,
maliciozni program retko ima za cilj da zarazi samo jedan raunar, pa je prenos putem
Interneta najbri nain da se incira to vei broj raunara. Ako je cilj kompromitacija
sistema zate, napad ne mora doi sa Interneta maliciozni program moe da se insta-
lira putem USBa ili Bluetooth veze sa mobilnim telefonom. Usmereni napad na jedan
raunar je i najopasniji, zbog mogunos korienja naprednih metoda napada poput
socijalnog inenjeringa i drugih alata. U duem periodu, ne postoji sistem ija se bezbed-
nost ne moe ugrozi.
Iskorisve ranjivos RS omoguavaju napadau da narui integritet sistema. Mali-
ciozni program koji iskoris ranjivost naziva se exploits. Ranjivos ine, na primer, slaba
lozinka, nedovoljna provera upita, slaba konguracija, greka u soveru ili hardveru itd.,
a vrlo se esto koriste kao sredstvo za distribuciju malicioznog programa. Na primer, au-
tomatskim preuzimanjem sa Interneta, korisnik moe da preuzme zaraenu datoteku ili
akvira buer overow ranjivost. Amerika nacionalna agencija za bezbednost (NSA) je
sastavila listu (12.01.2009) od 25 uobiajenih programerskih greaka, koje mogu doves
do iskorisve ranjivos [113]. Samo dve od ovih ranjivos su tokom 2008. godine ugro-
zile bezbednost 1.5 milion Internet lokacija i zombirale raunare poselaca ovih lokaci-
ja. Na vrhu liste ranjivos nalaze se nepotpuna validacija podataka uneh od strane
korisnika, nemogunost da se odri struktura baze podataka i web sajta i druge. Sve ove
greke mogu da dovedu do irenja ili izvravanja malicioznog kda.
117
BO FOO
Cross Site Scripng (XSS) je p ranjivos, koja se obino nalazi u web aplikacijama
koje grekom dozvoljavaju ubacivanje malicioznog kda u web stranice koje mogu da
vide drugi korisnici. U 2007. godini, XSS je inio oko 80% svih dokumentovanih bezbed-
nosnih propusta [115]. XSS kdovi su napisani u skript jezicima JavaScript, AcveX,
AconScript, RSS i drugim, a izvravaju se na klijentskom pretraivau.
SQL Injecon je tehnika za ubacivanje kda koja iskoriava ranjivos u sloju baze po-
dataka neke aplikacije. Do iskoriavanja ranjivos dolazi, kada napada ubaci znakove
u npr. legimno polje za korisniko ime, to dovodi do nepredvienog izvravanja upita
nad bazom.
Automatsko preuzimanje (Drive By Download) predstavlja ozbiljnu ranjivost i metod
irenja malicioznog programa. Pod terminom se podrazumeva svako preuzimanje pro-
grama koje korisnik nije odobrio ili je prevaren da ga odobri. Kva se ranjivost iskoriava
posetom zaraenom web sajtu, otvaranjem email poruke ili klikom na zamaskirani link,
obino u web pretraivaima, email klijenma ili KS.
Phishing (pecanje) je proces u kome napada pokuava da pribavi osetljive infor-
macije od rtve (broj bankovnog rauna, PIN kd itd.), obmanjujui je lanom email
porukom, lanom web lokacijom ili lanim popup prozorom, koji izgledaju kao legimni.
Iako po deniciji ne spada u maliciozni program, korisnik vrlo esto bude rtva phishinga
zahvaljujui malicioznom dejstvu virusa ili crva koje unose.
Zahvaljujui propusma u Internet pretraivaima i neznanju korisnika, jedan od
dominantnih naina za distribuciju malicioznih programa su zaraene web stranice. Pro-
cena je da je od 100% web lokacija koje prenose maliciozne programe, samo 15% za
tu svrhu i napravljeno. Kstalih 85% je napadnuto i zaraeno bez znanja administratora,
uglavnom SQL injecon napadom (Sl. 7.10).
Sl. 7.10. Drave koje hostuju najvie zlonamernih program [116]
118
KO FOJ
U prvih 10 meseci 2010. generisana je 1/3 (34%) svih do sada malicioznih programa
(malvera) na Internetu - oko 20 miliona novih (ukljuujui i modikovane stare). To su
automatski otkrile baze podataka kompanija irom sveta, koje analiziraju i klasikuju
99,4% od svih detektovanih pretnji. U 134 miliona posebnih fajlova nalazi se 60 miliona
malvera (virusa, crva, trojanaca i dr.). Proseno je dnevno generisano na Internet 63.000
(53.000 u 2009.). Kd toga je 54% malvera akvno samo 24 asa, to oteava detekciju.
Ipak, godinji porast je u opadanju u odnosu na 2003. 100% u odnosu na 2002., a u
2010 je rast za 50% u odnosu na 2009. (Sl. 7.11).
25
Sl.7.11. Razvoj malicioznih programa (malvera) u periodu 2003-2010.
Spam i zaraene e-mail datoteke su najzastupljeniji metod distribucije malicioznih
programa. Kompanija Sophos tvrdi da spam ini 97% svih poslovnih pisama pro-
daja ilegalni proizvoda, slanje e-mail poruka za preuzimanje i instaliranje nekog mali-
cioznog programa itd. Tokom 2008., svaki 714 e-mail je nosio zaraenu datoteku, u
odnosu na 2005. godinu kada je svaki 44 bio zaraen. Za ovaj pad je najvie zasluna
medijska hajka na viruse poput I Love You i Melissa. Prosean korisnik ree otvara su-
mnjive datoteke, a napadai su pronali nove naine za napad. Ipak, mogue je da e
e-mail ponovo posta znaajnije sredstvo za irenja malicioznih programa, poto u
savremenom e-poslovanju ifrovan e-mail postaje znaajna alternava bezbednijem
PKI sistemu. Nove ranjivos u Word .doc, ili Adobe .pdf datotekama, na raunarima
koji nemaju instalirane najnovije bezbednosne popravke, mogu izazva veliku tetu.
Spam se uglavnom iri pomou umreenih raunara iji korisnici nisu svesni da su im
raunari korumpirani. Kve mree se nazivaju botnet mree robozovanih raunara.
Bot raunar sadri program koji omoguava da se sa m raunarom daljinski upravlja,
esto sa centralnog servera, koji alje komande, a bot ih izvrava bez znanja korisnika.
25 Luis Corrons, Technical director of PandaLabs, 24.11.2010.
119
BO FOO
Takav program koji omoguava udaljenu administraciju ne mora da bude zlonameran.
Windows XP dolazi sa fabriki omoguenom podrkom za udaljenu administraciju, koju
treba onemogui. Botovi ne moraju uvek bi akvni; ako samo oslukuju instrukcije sa
servera, nazivaju se zombi raunari.
U praksi jedan napadaki server uvek kontrolie vei broj bot umreenih raunara.
Najrasprostranjeniji nain na koji botovi komuniciraju sa serverom je preko IRC-a (In-
ternet Relay Chat) servisa. Bot mree se mogu iskoris za prikupljanje e-mail adresa
kilogeima za slanje spama, hostovanje malicioznog programa, phishing web sajtove,
razbijanje ifri, DoS/DDoS napade i dr. Brojne drave ire spam poruke, a najvie spama
poe iz SAD 17,5% (Sl. 7.11).
Sl.7.12. Drave iz kojih se alje najvie spam poruka [116]
Poznat je sluaj jedne ruske hosng kompanije McColo, koja je na svojim serverima
hostovala komandne centre za pet velikih botnet mrea Srizbi (Zlob), MegaD, Rus-
tock, Dedler i Storm. Kada su McColo i botnet mree iskljueni sa Interneta (11. 10. 2008.
u 13:23), dolo je do pada spam poruka za ak 75% (Sl. 7.12).

Sl. 7.13. Pad koliine SPAM poruka tokom 11.10.2008. [116]
120
KO FOJ
Napad zastraivanjem (Scareware) je eskalirao 2008. godine, oslanjajui se na tak-
ku zastraivanja i navoenja potencijalne rtve da instalira lani AVP. rtve se mame
lanim alarmom o ugroenoj bezbednos njihovog raunara putem popup prozora na
zaraenim sajtovima ili putem spam poruka. Na primer, junokorejska AVP kompanija
Lee Shin je od 2005. godine zaradila preko 9,8 miliona dolara nudei besplatni an-
spyware program, koji je prikazivao lana upozorenja o ugroenos sistema i navodio
korisnike da kupe naprednu verziju programa njene kompanije [102].
Socijalni inenjering je drasan primer napada na Facebook naloge, koje poseduje
i akvno koris vie od 200 miliona osoba i organizacija [104]. Samo u avgustu 2008.
godine, Facebook je objavio da je preko 1800 korisnika napadnuto trojancem i njihovi
nalozi korieni za slanje spama i malicioznih programa. Facebook je moan alat u ru-
kama napadaa, jer niko ne oekuje da je poruka koju je upravo dobio od najboljeg pri-
jatelja zapravo zaraeni program. Hiljade korisnika je bilo prevareno, kada su od prijatel-
ja dobili poruku da je on tokom puta u Nigeriji bio opljakan i moli vas da mu poaljete
novac preko Western Uniona i sl. [109].
P2P (Peertopeer) mree, specijalizovane za distribuciju datoteka izmeu korisnika,
uglavnom se koriste za distribuciju ilegalnih datoteka i pirazovanog sovera. Neretko
su ove datoteke incirane malicioznim programom, a korisnici ovih mrea se oslanjaju
na preporuke drugih korisnika u vezi sa m da li je program inciran ili ne.
USB ureaji i pojava U3 smart diska doneli su i nove tehnike za napad. USB Switch-
blade sadri U3 USB memoriju koja je u stanju da instalira zadnja vrata i preuzme os-
etljive informacije sa sistema na koji je povezan. Za razliku od tradicionalnih USB 2.0
ureaja, U3 memorije se same pokreu kada se ukljue u sistem. Nakon ukljuivanja u
Windows KS, USB Switchblade u pozadini sakuplja informacije kao to su heevi lozinki,
IP adrese, istorije i autoll informacije iz Internet pretraivaa, AKL Instant Messenger
i MSN Messenger lozinke i instalira zadnja vrata na sistemu. Kvaj alat koris osobinu
U3 drajva da napravi virtuelni CDRKM na USB memoriji i na taj nain omoguava Win-
dows autorun funkciju. U 2008. godini zabeleen je interesantan sluaj distribucije ma-
licioznog kda na meunarodnoj svemirskoj stanici ISS, kada je jedan astronaut sluajno
koriso USB memoriju koja je nosila crva W32.Gammima.AG [105].
Opki mediji i hardver sa originalnim programom koji kompanije distribuiraju (npr.
CD i DVD), takoe, prenose i maliciozne programe. Mnoge svetski poznate kompanije su
imale negavan publicitet na ovaj nain, a korisnici su bili primorani da iste kompjutere
od virusa i crva koje su dobili od proizvoaa. Samsung je distribuirao crva W32.Sality.
AE zajedno sa programom za digitalni ram za slike, a Asus je u oktobru 2008. Godine, u
:apanu puso u prodaju Eee Box mini PC zaraen crvom W32/Usbalex [113].
Mobilni telefoni i WiFi ureaji, takoe, su ranjivi i korisnici mogu da oekuju sve vei
broj napada. U 2008. godini pojavili su se Apple 3G iPhone i TMobile G1 prvi telefon
koji koris ranjivi Google Android KS. :edna od posledica napada je, npr. nemogunost
da se prikae itava URL adresa u Internet pretraivau, usled malih dimenzija ekrana,
pa korisnici ne mogu da razlikuju lane phishing stranice od legimnih. Kako savremeni
121
BO FOO
mobilni telefoni imaju sve vei znaaj u mobilnom poslovanju, poznavanje malicioznih
programa namenjenih mobilnim telefonima ne treba zanemari. Smart telefoni imaju
sve opcije raunara i ve postoji veliki broj malicioznih programa namenjenih za napade
na ove telefone [106].
7.5. MERE ZATITE I OPORAVAK SISTEMA OD MALICIOZNIH NAPADA
Za odbranu RS/RM od dinamiki promenljivih pretnji i malicioznih napada, opma-
lno je primeni razliite U, K i T kontrole u bezbednoj arhitekturi sistema sveobuhvatne,
vieslojne zate, kao to su [50, 83]: obuka i razvoj sves o potrebi zate; zika i per-
sonalna zata; vieslojna anvirusna zata; nadzor i kontrola log tragova; logika AC
i polika privilegija; blokiranje akvnog sadraja; izolacija mrenom barijerom; primena
kriptolokih mehanizama i tehnologije digitalnog potpisa; procedura jake autenkaci-
je korienjem digitalnih serkata; korienje jakih kljueva i esta izmena; zata IP
adresa servera i korienje smart karca za generisanje digitalnog potpisa i bezbedno
uvanje kljueva i drugih kriptografskih parametara.
Procedura za oporavak sistema od malicioznih napada i mere zate moraju bi deo
strategije za odravanje stanja bezbednos informacija na prihvatljivom nivou rizika.
Glavni zahtevi su osposobi sistem kroz procedure za izolaciju inciranih sistema, uklan-
janje malicioznog programa iz sistema, restauraciju integriteta sistema nakon napada
(obino iz rezervne kopije) i oporavak servisa sistema. Procedure za oporavak sistema
moraju bi jasno dokumentovane, regularno tesrane i treba da sadre proces za akcije
korisnika i obavezno izvetavanje u sluaju virusne infekcije. U anvirusnu borbu treba
ukljui poverljive provajdere zate (snabdevae AVP), kao i glavne ISP koji mogu pot-
puno ukloni botnet i maliciozne napada sa Interneta
26
, zbog akumuliranja znanja o
vrs napada, odbrani i proceni tete i resursa za oporavak sistema. U literaturi [32] da
su kriterijumi za izbor AVP, elemen za izradu procedura za oporavak i standardni ste-
peni kontrole intenziteta malicioznih programa. U razvoju sistema zate i odbrane od
malicioznih napada na sisteme u mrenom okruenju, glavni je problem idenkovanje
razliih pova zloupotreba mrene infrastrukture, da bi se projektovale adekvatne
mere zate. Tehnika reenja ukljuuju programska (AVP) i hardverska. Grakon na
slici 7.13. prikazuje najefekvniji anvirusni program u 2009. godini i njegov nivo zate
od malicioznih programa. Primer hardverskog reenja je FSecure Messaging Securi
Gatevay, X serije koji obezbeuje potpunu zatu od neeljene pote, virusa i drugih
malicioznih programa. FSecure ureaji kombinuji MTA
27
, anspam, anvirusni i mo-
dul za ltriranje sadraja epote. Veoma je jednostavan za instalaciju, ima visoke perfo-
rmanse, a dizajniran je da za male i srednje organizacije.
26 www.searchsecurity.com, Robert Westervelt, News Editor, (Poseeno 17 Marta 2010).
27 Engl.: MTA (Mail Transfer Agent) agent za prenos elektronske pote.
122
KO FOJ
Sl. 7.14. Pregled efekvnos anvirusnih programa u 2009. godini [32]
7.6. REZIME
Sa razvojem RM i umreavanja, rastu i potencijalne pretnje od razliih napada spo-
lja i iz mrea intranet pa. Mogue su brojne taksonomije pretnji u odnosu na razliite
kriterijume, a krajnji cilj svake je, da se specijalisma zate i korisnicima obezbedi lake
denisanje i idenkovanje razliih pova pretnji za IKTS. Prema prirodi izvora pretnje
se dele na sluajne i namerne. Kako iza svih malicioznih napada stoje ljudi, prolisanje
kompjuterskih kriminalaca je znaajna akvnost u borbi prov kompjuterskog krimi-
nala. Kljuni povi napada su destrukcija, izmena podataka, prekid servisa (DoS/DDoS
napadi), pijunaa i neovlaeno korienje.
Za zloupotrebu/kompjuterski kriminal potrebni su mov, sredstvo i prilika. Op mo-
vi hakera su znaelja, novac, mo, osveta i dr., a posebni intelektualni izazov, ra-
doznalost, borba za pres i dr. Sredstva su nivo vene i tehnoloki kapacite sa kojima
hakeri izvravaju kriminal, a prilika iskorisva ranjivost, koja se esto teko odreuje
zbog anforenzikih akvnos za skrivanje tragova napada. Maliciozni program je kd
koji se tajno ubacuje u drugi program sa namerom da se unite podaci, pokrenu destruk-
vni programi ili kompromituje bezbednost i narui CIA informacija. Generalno, dele se
na viruse, crve, trojance, mobilni kdove, kombinovane napade i dr.
Raunarski virus je program koji incira ostale programe, modikujui ih tako da
ukljuuju njegovu naprednu kopiju. Virus se moe iri kroz raunarski sistem i mreu,
koristei autorizaciju svakog korisnika. Inciran program se, takoe, ponaa kao virus pa
se infekcija iri. Crvi su maliciozni programi koji menjaju ili unitavaju podatke i ire svoje
kopije ili delove na druge raunare, obino preko mrea, pa ih nazivaju i mreni virusi.
Mobilni kd je akvni program koji se prenosi sa udaljenog sistema na lokalni, a zam
izvrava na lokalnom sistemu bez eksplicitne instrukcije korisnika; esto slui kao me-
123
BO FOO
hanizam za prenos virusa, crva ili trojanaca do raunara korisnika. Kombinovani napad
je sluaj malicioznog kda, koji za irenje koris viestruke metode: epotu, zajednike
datoteke Windows, web servere, web klijente ili u peertopeer arhitekturi sistema. Sa
tehnikog aspekta, kombinovan napad ima karakteriske virusa, crva i mobilnog kda.
Trojanac je prosta forma zlonamernog programa, naizgled interesantna korisnicima; pri-
kazuje poruke, brie datoteke ili diskove, ali ne incira ostale izvrne datoteke, jer se ne
replicira, pa zato i nije u kategoriji virusa.
Mere zate od malicioznih kodova treba da ukljuuju sveobuhvatnu, vieslojnu
zatu IKTS obuku i razvoj sves o potrebi zate, ziku i personalnu zatu, AVP,
skener integriteta RM/RS, nadzor i reviziju kontrolnih informacija itd.
Boot virusi: inciraju sistem kada korisnik
pokua da butuje sa inciranog medija.
Crv: kompletan program koji se umnoava bez
inciranja ostalih programa.
Haker: znaeljni mladi poznavalac raunara,
koji neovlaeno upada u tue raunare, ug-
lavnom bez malicioznih namera, a u elji za
scanjem novih znanja.
Kompjuterski kriminalci: rade sa/bez raunara,
kradu tue tajne i novac, unitavaju datoteke,
KS ili menjaju podatke Web stranica ili baza
podataka.
Logika bomba: kd ubaen u legiman pro-
gram, dizajniran da se akvira u tempirano
vreme i proizvede rezultate koje legimni ko-
risnici programa ne ele.
Maliciozni kd: program koji se tajno ubacuje
u drugi program sa namerom da se unite/
izmene podaci ili na drugi nain kompromituje
bezbednost raunara.
Mobilni kd: nalazi se u akvnom sadraju
(JavaScript, Java Applets i AcveX) web doku-
menta namenjenom za prezentaciju; skriva se
u pretraivau klijenta.
Trojanac: program, atrakvan legimnom ko-
risniku (igrica, alat), koji skriva malignu nameru
(npr. kraa pasvorda); ubacuje se u sistem na
brojne naine.
Virus: kd ubaen u legiman program,
napisan da se sam reprodukuje kopiranjem u
druge legimne programe.
Zamka (trapdor): metod dobijanja kasnijeg
pristupa nekim delovima IKTS izvan normalne
procedure; esto ih ostavljaju programeri kao
bag, koji otkrivaju hakeri.
1. Krajnji cilj svake taksonomije pretnji je da
se:
a. obezbedi lake denisanje i iden-
kovanje razliih pova pretnji
b. ukae na razliitu prirodu izvora, intenz-
iteta i verovatnoe ucaja pretnji
c. omogui korisnicima lake otkrivanje
napadaa
2. Koje su od navedenih pretnji istovremeno
vetaki izazvane i vanredni dogaaj?:
a. nepotpune rezervne (bekapovane)
kopije
b. nestanci elektrinog napajanja
c. poplava u zgradi i raunarskom centru
zbog pucanja vodovodnih cevi
d. serveri zaraeni virusom
e. izbio poar u zgradi
124
KO FOJ
3. U IKTS sa pristupom Internetu velike br-
zine, zaposleni imaju instalirane modeme,
ako veza velike brzine ne radi, mogu bira
web pretraivae i aurira svoje raunare.
Koja mera zate je najbolja za odbranu od
potencijalnih pretnji?:
a. povea broj web pretraivaa tako
da bi hakeru oteali otkrivanje i
iskoriavanje ranjivos aplikacija web
pretraivaa
b. ogranii broj web pretraivaa (12)
da biste bolje aurirali aplikacije
c. uves pristup Internetu preko modema
i zbuni hakere brojem zikih veza
d. smanji broj zikih veza sa Internetom
uklanjanjem svih modemskih veza
4. Virusni napad:
a. vri se uglavnom od klijenta i komuni-
kacije sa serverom bez autenkacije
b. omoguava neovlaeni pristup po-
dacima uz pomo otkrivene lozinke
c. unitava podatke
d. omoguava otkrivanje podataka na bazi
ifrata i otkrivenog tajnog kljua
e. onemoguava funkcionisanja mrenih
servisa i resursa
5. Ukidanja servisa (DoS):
a. neovlaeno pristupanje podacima u
otvorenom obliku i lozinkama
b. omoguava otkrivanje podataka na bazi
c. onemoguava funkcionisanja mrenih
servisa i resursa
d. omoguava neautorizovani pristup
podacima prevarom legalnog korisnika
6. Ponavljanje poslah poruka:
b. omoguava neovlaena kontrola
komunikacije subjekata i ponavljanje,
izmena ili spreavanje prenosa podata-
ka
c. omoguava otkrivanje podataka na bazi
7. Pogaanje lozinke:
b. neovlaeno pristupanje podacima u
c. omoguava neovlaeni pristup po-
dacima uz pomo otkrivene lozinke
d. unitava podatke
e. omoguava neautorizovani pristup
8. Napad pa trojanskog konja:
b. idenkuje potencijalne objekte na-
pada i locira ranjiva mesta RM
c. vri se najee prekoraenjem bafera i
skriptovanjem preko web lokacije
d. distribuira zlonamerne programe na
radne stanice i krade podatke
e. neovlaeno pristupanje podacima u
9. Lano predstavljanje (socijalni inenjering):
a. idenkuje potencijalne objekte na-
b. omoguava otkrivanje podataka na bazi
c. onemoguava funkcionisanja mrenih
servisa i resursa
10. Kriptoanaliza:
b. neovlaeno pristupanje podacima u
c. omoguava otkrivanje podataka na bazi
d. onemoguava funkcionisanja mrenih
servisa i resursa
e. omoguava neautorizovani pristup
11. Napad skeniranjem:
b. idenkuje potencijalne objekte na-
125
BO FOO
c. najee prekoraenjem bafera, skrip-
tovanjem preko web lokacije i dr.
12. Kombinovani napad je:
a. kombinacija vie pova malicioznih
kodova
b. sluaj malicioznog kda koji koris
viestruke metode za irenje
c. kombinacija virusa i trojanaca
13. Tipian proces napada sadri sledee ko-
rake:
a. izvianje, planiranje, dobijanje pristupa
i prikrivanje prisustva
b. izvianje, dobijanje pristupa i prikrivan-
je prisustva
c. planiranje napada, izvianje, dobijanje i
prikrivanje prisustva
14. Navedite koji su od nabrojanih napada
izazvani upotrebom malicioznog kdu:
a. trojanski konj
b. drutveni inenjering
c. virus/crv
d. haker
e. parazitski program
15. Trokovi zloupotrebe IKTS deniu se kao:
a. potreban rad da se analizira, popravi i
ois incirani sistem
b. gubitak produkvnos i drugi trokovi
otklanjanja posledica napada
c. nabavka AVP, obuka, trokovi osigu-
ranja i trokovi gubitka ugleda
16. Zlonamerni (maliciozni) program je:
a. kd koji se tajno ubacuje u drugi pro-
gram sa namerom da se nanese teta
b. tajni kd koji se legalno ubacuje u drugi
program sa namerom da sprei napad
c. kd koji se tajno ubacuje u drugi pro-
gram sa namerom da se unite podaci
d. kd koji se tajno ubacuje u legalni
program sa namerom da se pokrene
destrukvni program ili kompromituje
bezbednost informacija
17. Ksnovne karakteriske virusa su:
a. incira druge programe, modikujui
ih tako da ukljuuju njegovu naprednu
kopiju
b. samoumnoavaju se, zasebni su pro-
grami i ne zavise od izvrnog kda
c. replicira se, pravi svoje kopije i distri-
buira ih u druge datoteke ili raunare
d. sadri metode za upad i irenje,
algoritam za izbor mete i metod za
pretraivanje i teret za napad
e. samoumnoavanje u postojei izvrni
kd je kljuni faktor za denisanje
f. pravi se modularno da lake moe pro-
meni funkcionalnost
18. Ksnovne karakteriske crva su:
a. samoumnoavaju se, zasebni su pro-
grami i ne zavise od izvrnog kda
b. replicira se, pravi svoje kopije i distri-
buira ih u druge datoteke ili raunare
c. sadri metode za upad i irenje,
algoritam za izbor mete i metod za
pretraivanje i teret za napad
d. samoumnoavanje u postojei izvrni
kd je kljuni faktor za denisanje
e. pravi se modularno da lake moe pro-
meni funkcionalnost
19. Ksnovne karakteriske trojanca su:
a. sadri serversku i klijentsku komponen-
tu
b. svaki mehanizam, koji zaobilazi nor-
malnu kontrolu pristupa u sistemu
c. pasivno sakuplja informacije sa
raunara korisnika i alje ih napadau
d. sadri teret, koji izvrava neki maliciozni
kd i okida
20. Zadnja vrata su:
tu
c. omoguava zaobilazni pristup raunaru
i eskalaciju lokalnih privilegija
d. sadri teret, koji izvrava neki maliciozni
kd i okida
21. apijunski program je:
tu
126
KO FOJ
c. pasivno sakuplja informacije sa
b. sadri teret, koji izvrava neki maliciozni
kd i okida
22. Logika bomba:
tu
b. omoguava zaobilazni pristup raunaru
i eskalaciju lokalnih privilegija
c. sadri teret, koji izvrava neki maliciozni
kd i okida
23. Mobilni kdovi su:
a. pasivno sakuplja informacije sa
b. akvni program koji se prenosi sa
udaljenog sistema na lokalni i na njemu
izvrava bez instrukcije korisnika
c. sadri teret, koji izvrava neki maliciozni
kd i okida
24. Metodi skrivanja malicioznih programa su:
a. anforenzike tehnike, samozata od
detekcije i ometanje funkcionisanja
b. kriptozata, samozata od detekcije i
ometanje funkcionisanja
c. polimorzam, metamorfoza, ifrovanje
kda i maskiranje,
d. tehnike skrivanja (rutkit) i tehnika deak-
vacije AVP
25. Distribuciju malicioznih programa
omoguavaju:
a. iskorisve ranjivos RS/RM, spam i
zaraene email datoteke
b. programski bagovi i maliciozni skriptovi
c. zastraivanje (Scareware) i socijalni
inenjering
d. Peertopeer mree, USB ureaji,
opki mediji i hardver
e. mobilni telefoni i Wi&i ureaji
26. Mere zate i oporavak od malicioznih
programa:
a. vieslojna anvirusna zata, nadzor i
kontrola log tragova
b. zika AC, polika zate i blokiranje
sadraja
c. zata IP adresa servera i korienje
smart
d. restauraciju integriteta sistema iz
rezervne kopije
27. Kljuni kriterijumi za procenu napada u
analizi rizika su:
a. posledica ucaja, lokacija izvora i nain
izvoenja
b. intenzitet ucaja, izvor nastanka i nain
izvoenja
c. posledica ucaja, izvor nastanka i nain
izvoenja
d. posledica ucaja, izvor nastanka i pri-
menjena tehnika napada
127
BO FOO
8.
TEHNOLOGIJE ZA ZATITU
RA,UNARSKIH SISTEMA
8.1. UVOD
Proceduralne i tehnike kontrole zate mogu se smatra razliim aspekma je-
dnog reenja sistema zate. Kbino nema smisla bira tehnike mehanizme zate bez
proceduralnih reenja, kao i to procese zate treba projektova prema tehnolokim
mogunosma i raspoloivim alama da bi se obezbedio eljeni nivo podrke tom pro-
cesu. Drugim reima, samo kombinacijom tehnika, alata i proceduralnih kontrola ostva-
ruje se efekvna arhitektura sistema zate.
Generika arhitektura sistema zate obuhvata najvei skup poznah i dostupnih pro-
ceduralnih i tehnolokih komponen zate, koje se menjaju u zavisnos od specinos
IKTS, bezbednosnih zahteva i procene rizika u konkretnoj organizaciji. Denisanje arhi-
tekture sistema zate sugerie se u poetnoj fazi razvoja ivotnog ciklusa IKTS, a u fazi
projektovanja, arhitektura sistema zate se doteruje u skladu sa rezultama procene
rizika, mogunosma i potrebama organizacije.
U optem sluaju, tehnike i ala zate mogu se podeli na host orijensane (na RS)
i mreno orijensane (na RM). Za upravljanje alama zate RS/RM, potrebno je obe-
zbedi odreene kontrolne strukture kontrole zate.
8.2. KLASIFIKACIJA ALATA ZA ZATITU
Klasa hostorijensanih alata za zatu, namenjena je za poboljanje NKSSS zate
servera, radne stanice, aplikacija i podataka. Klasa mreno orijensanih alata odnosi se
na mehanizme i protokole za zatu RM. Klasu alata za infrastrukturnu podrku ine
kompleksni, infrastrukturni ala za zatu i veu funkcionalnu podrku IKTS. U odnosu
na pove servisa zate koje podravaju i realizuju, unutar prve dve klase, ala zate se
dalje klasikuju na alate za: idenkaciju, autenkaciju i autorizaciju (RS/RM), zatu
integriteta (RS/RM), kontrolu pristupa (RS/RM), monitoring sistema zate (RS/RM) i
zatu poverljivos, integriteta i raspoloivos podataka i informacija.
128
KO FOJ
Sa aspekta KKM, prva eri servisa gledaju na RS/RM kao na kontejnere informacija
i namenjeni su za zatu h kontejnera, dok poslednji servisi direktno te poverljivost,
integritet i raspoloivost informacija u RS/RM. Vano je razume razliku izmeu integ-
riteta RS/RM i integriteta podataka. Zata integriteta RS usmerena je na detekciju i
potencijalno spreavanje i oporavak od maliciozne modikacije komponen sistema,
dok je zata integriteta RM namenjena da obezbedi celovitost konguracije RM. Na
primer, mehanizmi za zatu integriteta RM mogu otkri prisustvo neovlaene maine
povezane na RM. Mehanizmi za zatu integriteta podataka namenjeni su za zatu
nepromenljivos podataka. Primer je protokol zate koji detektuje promene na po-
dacima u toku prenosa.
Za klasikaciju tehnikih alata zate, primenjuje se objektnoorijensana ema (Sl.
8.1) [74].
Sl. 8.1. Klasikacija alata za zatu
129
BO FOO
8.3. MEHANIZMI ZATITE RA,UNARSKOG SISTEMA
8.3.1. Apstraktni bezbednosni slojevi raunarskog sistema
Za denisanje slojeva zate u RS koris se slojevita struktura apstraktnih nivoa u RS,
slino KSI modelu arhitekture RM. Dakle, osnovni koncept slojevite zata poinje ve u
samom RS. Uproeni model (Sl. 8.2) se koris samo za ilustrovanje osnovnog koncepta
zate RS. Operavni sistem (KS), najznaajniji apstraktni sloj RS, uestvuje u svim za-
dacima koje RS obavlja. Zato, zata OS odreuje najvii nivo zate celog IKTS. Naime,
ako se KS kompromituje, samo je pitanje vremena kada e ceo RS bi kompromitovan,
pre svega sloj aplikacija koji komunicira direktno sa KS [74, 85].
Baze podataka i srednji sloj (middle-
ware) su sistemski programi za podrku
KS, dok sloj aplikacija direktno pristupa
KS. Sistemski programi za podrku KS
obezbeuju odreene standardne ser-
vise za brojni skup aplikacija. Ksnovni
koncept je da vii sloj programa prima
neku vrstu servisa od nieg sloja. Prim-
eri ovih programa su relacione baze po-
dataka i arhitektura middleware (brokera
zahteva za zajednike objekte). Poto ovi
programi koriste servise, koje nudi KS,
njihova zata je nuno zavisna od zate
KS i ako je KS probijen preko sloja ap-
likacija, lako je zaobii mehanizme zate
baze podataka i middleware sloja.
Primer 1: Relacionu bazu servis kontrole pristupa i nalog administratora. Ako se na neki
nain dobije nalog superkorisnika, onda je lako dobi pristup bazi podataka. Takoe, zata
aplikavnog sloja je zavisna od zate oba donja sloja.
Primer 2: Za zatu baze podataka koris se kriptozatni mehanizam, koji mora ispuni
stroge zahteve uvanju kriptolokih kljueva u ureaju otpornom na proboj (smart karca),
da bi se spreio privilegovan korisnik da izvue kljueve, koristei uslune alate. Dizajn ar-
hitekture treba da sprei da se podaci nikada ne pojavljuju u otvorenom tekstu u memoriji
RS ili sekundarnim memorijama (USB, CD, ..). Interfejs izmeu KS i ureaja za skladitenje
kriptolokih kljueva treba da bude zaen sa protokolom zate, da neovlaeni korisnik
sa privilegovanim pravima, ne moe prislukiva razmenu izmeu baze podataka i ureaja i
posle toga preko interfejsa ui u sistem. Dakle, ko kontrolie KS obino kontrolie sve to je
akvno iznad KS. Zato dobar sistem zate poinje sa dobrom zatom KS.
Sl. 8.2. Apstraktni bezbednosni slojevi RS
130
KO FOJ
8.3.2. Podsistem za zatitu OS (NOSSS)
:edan od vrsh stereopova meu specijalisma zate je treranje (pod)siste-
ma zate KS NKSSS, kao dominantne komponente zate. Na zatu KS izdvajaju
se znatna sredstva na raun ostalih komponen realnog sistema zate. Meum, u
savremenim IKTS sa vieslojnom arhitekturom klijent server pa, KS ne kontrolie
sve objekte sa kojima korisnici rade, kao ni akvnos samih korisnika, koji svoj pristup
KS-u registruju mehanizmima za kontrolu pristupa. Na taj nain, osnovna bezbednosna
funkcija NKSSS postaje samo zata prava privilegovanih korisnika (administratora, su-
pervizora i dr.) od napada regularnih korisnika (interno zaposlenih), to je znaajno, ali
nedovoljno za bezbednost IKTS. Takoe, u sistemu zate, rentabilnom i sinhronizova-
nom sa ivotnim ciklusom IKTS, jednako su znaajne proceduralne i tehnike kontrole,
kao i poveanje ekasnos i efekvnos procesa upravljanja zatom [61].
Kako je NKSSS osnovni sloj zate svih programa u RS, dobro je da drugi povi zate
budu kompabilni sa zahtevima NKSSS, a ne obrnuto. U razvoju strategije zate, treba
jaa zatu komplementarnu NKSSS, dodavanjem drugih pova zate, vodei rauna
da mehanizmi ne budu u koniktu sa NKSSS alama. Karakteriske NKSSS alata za
zatu prilino su standardne i obino ukljuuju osnovne mehanizme, kao to su me-
hanizmi kontrole pristupa i autenkacije korisnika operavnom sistemu i mehanizmi
logovanja bezbednosno relevantnih dogaaja. Naini implementacije ovih mehanizama
zavise od vrste plaorme, pa je teko denisa homogene zahteve. Glavna opasnost od
upotrebe univerzalnih programa za zatu, je udaljavanje korisnika od NKSSS mehaniza-
ma i korienje za zatu heterogenih plaormi. Administrator zate obino iskljue
NKSSS zatu, a da pri tome dodatni program za zatu uopte ne podrava neku funk-
ciju zate NKSSS.
Iako ni jedan KS nikada nee bi potpuno zaen, neki TTP nude poverljive OS
zasnovane na kriterijumima evaluacije poverljivih raunarskih sistema TCSEC (Tusted
Computer System Evaluaon Criteria). Za korienje TCSEC treba poznava kriterijume
prema kojima je sistem evaluiran i p rizika kojeg otklanja. Korienje TCSEC programa
za ekstra zatu, esto smanjuje funkcionalnos, tako da se neke aplikacije uopte ne
mogu izvrava [84].
Microso neprekidno poboljava bezbednost svojih KS, jo od Windows NT 4.0.
NKSSS KS Windows 7, ukljuuje sistem za ifrovanje fajlova EFS (Encrypng File Sys-
tem), koji podrava kriptoloki algoritam ECC (Ellipc Curve Cryptography), pogodniji
mehanizam za kontrolu pristupa i poboljani mehanizam za kontrolu aplikacija, koje se
mogu instalira na korisniki raunar AppLocker. Takoe, uvedeni su novi koncept
DirectAccess, koji bezbedno spaja legimnog udaljenog korisnika na IKTS organizacije i
BitLocker, koji ifruje podatke na nivou bita.
131
BO FOO
8.3.3. Logika kontrola pristupa raunarskom sistemu
Logika kontrola pristupa LAC (Logical Access Control) je servis za upravljanje
pravilima, prema kojima korisnici mogu ostvari logiki pristup objekma IKTS. Razli-
kuju se soverski mehanizmi za AC RS (mainfraim pa), koje ukljuuje NKSSS veine
savremenih KS i univerzalna reenja za kontrolu pristupa razliim plaormama i cen-
tralizovanu administraciju vie korisnika EUA (Enterprise User Administraon), koji
mogu radi sa postojeim NKSSS na veini plaormi.
Generiki servis LAC (Sl. 8.3) ukljuuje mehanizme za idenkaciju, autenkaciju
i autorizaciju legimnih korisnika KSu raunara, koji se koriste za restrikciju pristupa
objekma RS [61].
Sl. 8.3. Generiki servis logike kontrole pristupa
Korisnik se idenkuje sistemu sa korisnikim imenom, a identet verikuje (auten-
kuje) nekim idenkatorom, koji moe bi neto to ima (karca sa PIN), zna (lozinka)
ili to stvarno jeste (biometrijski parametar). Poto veina korisnika danas pristup IKTS
preko lokalne mree ili udaljenim pristupom preko Interneta, autenkacija korisnika se
smatra mrenim procesom. Standardni mehanizmi za autenkaciju su autenkacioni
protokoli i ureaji (serveri, smart karce).
U savremenim RS, za autenkaciju korisnika KSu, najvie se primenjuju korisniko
ime i lozinka. U praksi se vrlo esto koriste iste lozinke za razliite aplikacije, to je
krenje polika zate, jer se poveava mogunost proboja renikim napadom. Rezul-
ta istraivanja korisnike upotrebe i upravljanja lozinkom (Tabela 8.1) pokazali su da
oko 77% ispitanih koris istu lozinku za razliite aplikacije [23]. Autorizacija je proces
dodeljivanja legalnim korisnicima prava pristupa i akvnos na objekma RS.
132
KO FOJ
Tabela 8.1. Staska korisnike upotrebe lozinke
Upotreba lozinki
Ne koriste Kd 13 Kd 410 Vie od 10
10% 11% 29% 50%
Tipina duina lozinke
Zavisno od potrebe 8 i vie karaktera 68 karaktera 15 karaktera
29% 44% 28% 3%
Zaboravljanje lozinke
Ne
koriste
lozinku
Nikad
(zapisuje)
:ednu
nedeljno
Nikad
(pam)
:ednom
meseno
Nikad
(menader
lozinki)
:ednom
godinje
2% 5% 8% 16% 17% 26% 26%
8.3.3.1. Mehanizmi logike kontrole pristupa
Generiki servis LAC evoluirao je od obavezne MAC (Mandatory Access Control),
na osnovu utvrenih pravila, primarno primenjivane u dravnim organizacijama (vojska,
policija) i diskrecione DAC (Descreonary Access Control), na osnovu odluke vlasni-
ka sistema u poslovnim sistemima, do svaremenih modela kontrole pristupa na bazi
sledeih mehanizama: liste kontrole pristupa (ACL), uloga (RBAC), atributa (ABAC), poli-
ke zate (PBAC) i adapvnih na rizik (RadAC), (Sl. 8.4) [62].
Sl. 8.4. Mehanizmi logike kontrole pristupa [62]
133
BO FOO
Lista kontrole pristupa (ACL) je osnovna forma LAC, nastala 1970ih zbog potrebe
ograniavanja pristupa vie korisnika deljenim resursima UNIX mainframe sistema. ACL
je fokusirana na resurse RS/RM, gde se polika pristupa podeava za svakog korisnika i
koriste je brojni KS (Unix, Windows, Linux). Koncept ACL je jednostavan svaki resurs
sistema, kojem treba kontrolisa pristup, predstavlja objekat sa pridruenom listom pra-
va pristupa i akvnos enteta na m objekma. ACL se moe primeni na pojedinanu
datoteku, direktorijum ili grupu procesa i esto obezbeuje dovoljno privilegija za modi-
kaciju liste. ACL se moe koris u kontekstu RM, gde se zahteva udaljeni pristup, kao
i u sistemima za upravljanje relacionom bazom podataka i nekim aplikacijama. Ksnovni
nedostaci ACL su slaba ekasnost, jer se mora proverava svaki put kad korisnik pristu-
pa resursu, teko upravljanje sa velikim brojem korisnika i prava pristupa na razliim
nivoima i neprihvatljivo vremenski zahtevne i sklone grekama modikacija.
Kontrola pristupa na bazi uloga u organizaciji (RBAC) je noviji metod u kojem se
pristup resursima RS/RM odreuje na bazi uloga korisnika u organizaciji. RBAC otklanja
neke nedostatke ACL i prua nove mogunos LAC odreuje pristup na bazi uloge ko-
risnika, nezavisno od pa resursa kojem pristupa. RBAC omoguava grupisanje korisni-
ka, pa se polika pristupa podeava samo jedan put za odreeni resurs i grupu korisnika.
Kmoguava da korisnici budu lanovi vie grupa, npr. lan jedne grupe sa odreenim
pravima i posebnim privilegijama druge grupe (npr. supervizor). Ako su privilegije u kon-
iktu, pristup zavisi od KS i prioriteta privilegija u konkretnom sluaju. Privilegovani na-
log obezbeuje administratoru sistema da odreenim korisnicima daje na kontrolisan
nain mogunost da koriste neke selekvne komande pod administratorskim nalogom,
a da pri tome ne deli svoj nalog sa m korisnicima. Privilegovani menaderski nalog se
koris da obezbedi zatu KS, a ne rad sa programima za podrku ili sa slojem aplikacija.
U poslovnim sistemima najee se koris RBAC metod, gde se korisnici dodaju ili
uklanjaju iz grupe u procesu administracije LAC servisa. Varijante RBAC metoda su im-
plemenrane na razliim nivoima u veini savremenih KS, npr. Windows 2000 i kasnije
verzije uvele su grupe korisnika: administrator, privilegovani korisnici i korisnici. RBAC se
sve vie primenjuje na nivou aplikacija, obino kao komponenta srednjeg sloja. Na pri-
mer, IBM Tivoli Identy Manager ima RBAC komponentu koja trera ulogu korisnika kao
deo njegovog identeta. Ksnovni nedostatak RBAC metoda LAC je problem denisanja
vee granulacije prava pristupa za svakog korisnika, to je esto potrebno [41].
Kontrola pristupa na bazi atributa korisnika (ABAC) je metod LAC gde se odluka o
kontroli pristupa donosi na bazi seta karakteriska ili atributa enteta koji zahteva pris-
tup sistemu direktno ili posredno. Korisnik se idenkuje sistemu setom atributa, koji
se porede sa referentnim atribuma u bazi podataka, a sistem doputa/odbija pristup
zavisno od polike LAC. Kljuna prednost ABAC metoda je to nije potrebno da korisnik,
koji pristupa sistemu/resursu, bude unapred poznat. Ako atribu korisnika odgovaraju
kriterijumima za davanje prava pristupa, pristup e bi dodeljen. Kvaj metod nije dobar
za velike organizacije u kojima korisnici mogu po volji pristupi/napus organizaciju i
gde ima mnogo resursa, korisnika i aplikacija sa razliim atribuma, koje je potrebno
134
KO FOJ
harmonizova. Veina savremenih KS ne podrava podrazumevano ABAC metod ko-
ntrole pristupa.
Kontrola pristupa na bazi polike zate (PBAC) odreuje specinim izjavama,
ko i pod kojim uslovima moe ima pristup odreenim resursima. Takoe, navodi se
mehanizam implementacije, ime se uspostavlja kontrola i odgovornost menaderske
strukture. PBAC metod je u razvoju i predstavlja harmonizaciju i standardizaciju ABAC
metoda, koji ukljuuje atribute za pristup odreenom resursu na lokalnom nivou. PBAC
zahteva mnogo kompleksniju logiku, jer kombinuje atribute resursa, okruenja i koris-
nika koji zahteva pristup, sa informacijama o uslovima pod kojim se pristup odobrava.
Primer polike LAC u mainski itljivom formatu je XACML (The eXtensible Access Con-
trol Markup Language) baziran na XMLu.
Metod kontrole pristupa adapvne na rizik (RAdAC) obezbeuje LAC u realnom
vremenu, koja se prilagoava dinamikoj promeni faktora rizika. Kvaj metod predstavlja
sunski pomak od ostalih naina LAC i, pored koncepta operavnih potreba, uvodi us-
love okruenja i nivoe rizika u proces odluivanja mehanizma za LAC. RAdAC se, za kre-
iranje kvantavne metrike rizika, ne oslanja samo na tradicionalne atribute i polike,
nego kombinuje informacije o poverljivos lica (maina), IKT infrastrukturi i faktorima
rizika okruenja. Takoe, koris situacione faktore kao ulaze u proces odluivanja me-
hanizma, koji mogu ukljuiva informacije o tekuem nivou pretnji, dobijene iz drugih
izvora (CERT, proizvoa).
8.3.3.2. Univerzalni mehanizmi logike kontrole pristupa
Univerzalni EUA soverski mehanizmi centralizuju upravljanje LAC servisom u dis-
tribuiranom okruenju. Nasuprot mainframe mehanizmu za LAC velikom broju KS, baza
podataka i aplikacija, sa sopstvenim modelima zate, EUA reava brojne probleme
pregleda LAC podataka iz vie maina, kotrole promena na korisnikim nalozima i pra-
vima pristupa na svakom RS i kretanja administratora od jednog do drugog pa RS.
EUA program zahteva poznavanja svake plaorme, obezbeuje interfejs za upravljanje
razliim LAC mehanizama, ali ih direktno ne implemenra u KS. EUA LAC je neekasna
za autorizaciju sa niskim nivoom automazacije.
Najee reenje arhitekture EUA programa slino je onom kojeg koriste host ori-
jensani skeneri zate, a ukljuuje soverskog agenta, koji radi na ciljnoj plaormi,
upravljaku aplikaciju, koja moe komunicira sa agentom i sover korisnikog inter-
fejsa. Upravljanje (kreiranje, modikacija ili ukidanje) naloga korisnika moe se vri
direktno na ciljnoj plaormi ili preko jedne take (administracije) u EUA. Konzistentnost
centralne baze podataka koju odrava EUA sistem, obezbeuje se dijalogom izmeu
EUA agenta i upravljake aplikacije. Proces sinhronizacije ovog dijaloga razlikuje se od
proizvoda do proizvoda i moe ukljuiva sinhronizaciju u realnom vremenu ili pomou
batch procesa, u kojem se skup programa izvrava u raunaru u isto vreme, ali u tom
135
BO FOO
sluaju postoji prozor rizika (bez sinhronizacije), to moe doves do pogrene odluke
administratora.
Soverski agent je aplikacija, koja radi na vrhu NKSSS na ciljnoj plaormi ili kao eks-
terni sover za LAC, u mainframe KS. Neki pake nude API (Applicaon Programming
Interface), koji podrava autorske aplikacije. :edna posledica primene udaljenog agenta
je, da ne podrava sve funkcionalnos originalnog KS, to moe stvori ranjivost za oba-
ranje sistema. Veza izmeu centralno upravljanog sistema i agenta obino se ifruje, da
se sprei modikacija podataka u prenosu. Alternavni pristup korienju EUA programa
je adaptacija metabaze podataka (Data Warehous) za centralizaciju podataka LAC ser-
visa. Kvo reenje, meum, ne razmenjuje bezbednosno relevantne podatke sa drugim
entema i ne obezbeuje integraciju sa postojeim sistemima, kao EUA program [74].
8.3.4. Zatita integriteta raunarskog sistema
Denicija ranjivos ukljuuje soversku, hardversku i greku konguracije, koju
moe iskoris maliciozni napada. Upravljanje ranjivosma podrazumeva upravljanje
popravkama, konguracijom i zatom informacija (Sl. 8.5).
Sl. 8.5. &aze procesa upravljanja ranjivosma
Postoje dve kategorije ranjivos u Windows plaormama: nepozna prozor ranji-
vos od vremena otkrivanja ranjivos do popravke sistema i pozna prozor ranjivos
od vremena objavljivanja popravke do remedijacije sistema. U Tabeli 8.2. prikazan je
primer prorauna prozora poznah ranjivos.
136
KO FOJ
Tabela 8.2. Primer prorauna prozora poznah ranjivos
Ranjivost
Vreme izvetaja
snabdevau
sovera
Vreme
objavljivanja
popravke
Delta
vreme
Vreme popravke
/ublaavanja
rizika
IE, CVE*20061359
(ranjivost teksta)
10.02.2006 11.04.2006 60 dana
CVE20060058
(brzina slanja epote)
1.01.2006 22.03.2006 9 dana
CVE20051117
(preplavljivanje QuickTime QTS)
17.11.2005 10.01.2006 54 dana
CVE20060006
(preplavljivanje BMP MediaPlayer)
17.10.2005 14.02.2006 120 dana
* CVA (Common Vulnarability and Exposures) uobiajene ranjivos i izlaganja
Za upravljanje ranjivosma veina organizacija je preputena snabdevaima, a u ne-
kim sluajevima licima/entema (CIRT/CERT), koji objavljuju/otkrivaju nove ranjivos.
Korisnici mogu brojnim alama aurno pra bezbednosne ranjivos i popravke sistem-
skih programa. Na primer, veina snabdevaa nude email liste ranjivos: Bugtraq
(www.securityfocus.com/archive/ 1/descripon), originalnu listu bezbednosnih ranjivo-
s; VulnWatch (www. vulnwatch.org, uporedivu sa Bugtraq, ali slabije poseivanu; MS
Security Bullens (www.microso.com) listu ranjivos MS proizvoda itd. [60].
Integritet sistema kontroliu skeneri, koji se dele na skenere RS i skenere RM.
Skeneri integriteta raunarskog sistema rade na principu periodinog monito-
risanja aktuelne konguracije plaorme na sve pove ranjivos. Ranjivost se skenira
poreenjem tekue konguracije sa predenisanom, idealnom konguracijom za datu
plaormu. Iako skeneri integriteta mogu radi na svim apstraktnim nivoima, u praksi su
retki na aplikavnom nivou, poto zahtevaju detaljno poznavanje skenirane aplikacije.
U praksi glavna je upotreba skenera ranjivos samog KS.
Skeneri ranjivos KS uglavnom se koriste u okruenju IKTS manjeg obima, poto bez-
bednost ovih sistema obino zavisi od korektnos podeavanja velikog broja opcija kon-
guracije. Zavisno od KS mogue je uskladi datoteku osnovne i druge konguracije na
brojne lokacije u sistemu, pa im je teko manuelno pra trag. Naalost male promene
u veini ovih opcija mogu ima drasan ucaj na ukupan nivo zate sistema, a te se
promene mogu dogodi zbog ljudske greke (npr. rad administratora pod priskom),
neznanja (npr. omoguen servis za daljinski pristup) i zbog instalacije novog programa.
U IKTS srednjeg i velikog obima, nije mogue upravlja ovolikom kompleksnou bez
automazovanih alata.
Tipina implementacija skenera obuhvata soverskog agenta, koji skenira niz ciljnih
plaormi i verikuje aktuelnu konguraciju u odnosu na ciljnu, upravljaku stanicu,
137
BO FOO
koja skuplja podatke sa svih skeniranih plaormi u RM i kontrolnu stanicu, koja koris
korisniki interfejs za generisanje izvetaja. Na Sl. 8.6. ilustrovana je upotreba skenera
ranjivos veih IKTS.
Sl. 8.6. Primena skenera ranjivos u IKTS srednje veliine
Administrator koris klijentski interfejs za pristup rezultama skeniranja. Sover-
ski agent je obino specian za KS i dolazi sa prekongurisanom bazom podataka
uobiajenih ranjivos KS i predenisane polike. Kvi predenisani parametri koriste se
kao poetne vrednos za denisanje osnovne zate i polike skeniranja za specinu
lokaciju. Vendori obino nude auriranje sovera za skeniranje. Kvi ala mogu ima do-
datne funkcionalnos, kao to su zata lozinkom i mogunost monitorisanja promene
sadraja (npr. skladitenjem saetaka datoteka he vrednos). Ala za skeniranje
poznah ranjivos hosta mogu se nai na web-u [101].
Komercijalni skeneri zate mogu prezentova otkrivena odstupanja od ciljne kon-
guracije u formi izvetaja i grakog prikaza. Neki ala imaju mogunost automatske
korekcije stanja, to je delikatna operacija, jer korekcija ranjivos sistema zate moe
ima veliki ucaj na funkcionisanje sistema. Kljuno pitanje o efekvnos skenera ra-
njivos je u kojoj meri redukuju rizik, to zavisi od dva faktora mere u kojoj osnovna
konguracija zate odraava eljeni prol rizika i ekasnos procesa korekcije, koji sledi
nakon otkrivanja ranjivos. Ako su ova dva faktora korektno upravljana, skeneri ranjivo-
s mogu obezbedi vie dodatnih kontrola u distribuiranom IKTS.
Anvirusni programi (AVP) otkrivaju i uklanjaju kompjuterske viruse i druge mali-
ciozne programe, koji menjaju integritet RS, poto se instaliraju na lokalnoj plaormi, a
zam je koriste za dalju propagaciju u RM. Koncept AVP je jednostavan. Svaki put kada
AVP otkrije maliciozni kd, u cilju idenkacije ispituje deo strukture osoben za taj kd,
to su najee he vrednost ili digitalni potpis. Kvaj elemenat strukture je denicija ili
potpis malicioznog kda, koja se preuzima auriranjem baze podataka AVP, a kasnije ko-
ris za detekciju prisustva poznah malicioznih kdova. AVP jednostavno radi tako to
138
KO FOJ
skenira KS, baze podataka i aplikacije, traei potpise malicioznih kdova uskladitenih
u bazi denicija AVP. Kada otkrije maliciozni kd sa poznatom denicijom, u AVP se ak-
vira set instrukcija za uklanjanje te denicije.
U stvarnos zadatak AVP mnogo je sloeniji, poto autori malicioznih kdova nalaze
brojne naine da poraze ovaj jednostavni odbrambeni mehanizam. Neki virusi koriste
tehnike kriptozate za skrivanje potpisa malicioznih kdova. Zbog toga su savremeni
AVP dizajnirani tako da rade i na aplikavnom sloju i sloju KS i da mogu skenira veliki
obim objekata, kao to su memorije, datoteke, e-pota i dodaci i but sektori. Ksim toga,
skeniranje AVP nije ogranieno na jednostavnu detekciju denicija malicioznih kdova,
nego moe ukljuiva napredne tehnike kao to su deifrovanje i uklanjanje u izolovan
prostor (karann).
Skeneri sadraja i lteri e-pote mogu analizira sadraj preuzeh mobilnih kdova
ili poruka e-pote, detektova potencijalne povrede sistema zate i izvri akciju od-
govora na pretnje. Kve funkcionalnos su korisne za zatu integriteta KS. Iste tehnike
mogu se koris i za zatu integriteta podataka. Na primer, legalni korisnik razmenjuje
pornografski materijal sa serijom kontakata izvan organizacije. To radi steganografskom
ugradnjom slike ili teksta u poruke e-pote. Skeneri sadraja mogu detektova ugraene
slike ili tekst i smes ih u karann za dalju analizu. U ovom primeru, soveri skenera
sadraja direktno se koriste za zatu samih podataka.
Skeneri sadraja su komplementarni AVP-a. Rade na aplikavnom nivou, poto
obino ispituju informacione objekte koji su u prenosu izmeu dva sistema. Kvaj pristup
je potencijalno moniji od AVP detekcije bazirane na potpisu, zato to se mogu ugra-
di pravila bazirana na razliim kriterijumima i nisu ogranieni na, u suni, staka
svojstava objekata malicioznih kdova. Programi za ltriranje sadraja mnogo variraju
po obimu i soskaciji. Kreu se od jednostavnih skenera sadraja e-pote, koji vre
leksiku analizu i odlau u karann poruke koje sadre odreene, predenisane rei/
fraze, do sosciranih skenera sadraja koji u realnom vremenu ispituju dolazne poruke
i preuzete sadraje sa Interneta. Kvo je posebno znaajno za bezbednosnu proveru
prisustva mobilnih kdova (Java, JavaSkript i AcveX).
Veina skenera sadraja obezbeuje nekoliko naina reagovanja na povredu poli-
ke zate i omoguava administratoru da kongurie odgovarajue akcije na bazi h
pravila. U sluaju e-pote, skeneri sadraja mogu odlaga u karann ili izbrisa dodatke
sa porukama ili odbaci poruku u celini u junk direktorijum. Skeneri sadraja mobilnih
kdova mogu blokira preuze sadraj, prene sumnjivi sadraj TTPS provajderu na
analizu, izvri logovanje i potencijalno posla alarm korisniku. Neki web lteri mogu
prepozna i odgovori na sadraj. &ilteri e-pote imaju ugraene AVP, a AVP poinju
ugraiva neke od funkcionalnos skenera sadraja, to znai da ova dva mehanizma
konvergiraju u jedinstven proizvod.
139
BO FOO
8.3.5. Mehanizmi za detekciju i spreavanje upada u sistem
Sistemi za detekciju i spreavanje upada IDPS (Intrusion Detecon and Protecon
Systems) koriste se za prepoznavanje indikacija nekog pokuaja upada, upozorenje ko-
risnika i izvravanje korekvnih akcija za spreavanje upada u IKTS [2, 87, 89]. Savremeni
koncept IDPS omoguava, pored funkcija detekcije upada (IDS), odreenu vrstu inteli-
gentne zamke za napadaa (pa upa meda hony pot), kojima skreu njihovu panju
i za to vreme izuavaju osobenos u cilju prevenvne zate i spreavanja sledeeg
upada (Sl. 8.7).
Postoje dve velike klase IDPS sistema
IDPS raunarskog sistema ili HIDPS i
IDPS raunarske mree ili NIDPS. Kba
sistema analiziraju indikatore upada, ali
se razlikuju naini na koji to rade i povi
podataka koje procesiraju. Prednos
i nedostaci su slini onima kod sken-
era ranjivos. IDPS sistemi se, takoe,
mogu klasikova prema principima
detekcije na sisteme detekcije na bazi
potpisa i sloene detektore anomalija.
Prvi uporeuju log datoteku poznah
potpisa napada sa aktuelnim, dok drugi
trae anomalije prema obrascima, koje
sistemi koriste. HIDPS sistemi mogu ko-
ris razliite mehanizme za detekciju i spreavanje upada, kao to su pseudorelacio-
na analiza kontrolnih tragova i provera integriteta datoteka. Neki proizvodi kombinuju
mehanizme potpisa i detekciju anomalija i omoguavaju brzo auriranje baza potpisa
napada. HIDPS programi su obino dizajnirani za odreene KS, koji pruaju maksimum
funkcionalnos, kao to su direktna intercepcija i interpretacija pristupnih poziva siste-
mu. &unkcionalnost HIDPS sistema zavisi od analize kontrolnih tragova u log datototeci,
to je i glavna ranjivost zbog mogunos proboja i modikacije njenih podataka. HIDPS
sistemi obino rade i sa ifrovanim podacima, koje ciljni host deifruje pre procesiranja.
IDPS sistemi generalno imaju dobre sisteme izvetavanja sa razliim nivoima detalja i
grakim displejom.
Mehanizmi za upravljanje log datotekama obezbeuju selekvan pristup log da-
totekama kontrolnih tragova bezbednosno-relevantnih dogaaja. U okruenju sa
razliim plaormama, ovi mehanizmi pomau osetljivi proces skupljanja i kombinova-
nja login informacija sa razliih plaormi, to omoguava praenje napada ili sumnjivih
dogaaja, koji pogaaju vie od jednog hosta. Poto veina KS obezbeuje logovanje,
mehanizmi za upravljanje log datotekama koriste se za zatu na svim apstraktnim slo-
jevima RS.
Sl. 8.7. IDPS koncept
140
KO FOJ
Izvlaenje relevantnih podataka iz log datoteka u veim IKTS, veoma je sloen
i vremenski zahtevan posao. Pre svega, treba razmisli koje dogaaje upisiva u log
datoteke za svaku datu aplikaciju. Ako je ovo uinjeno korektno, za analizu informacija u
log datotekama, ostaju problemi velikog obima podataka i jasnih pravila za proakvnu
i reakvnu analizu i skladitenje kontrolnih tragova u kontekstu brojnih plaormi. Me-
hanizmi za upravljanje log datotekama smanjuju problem obima podataka kontrolnih
tragova, obezbeujui ltriranje podataka, na osnovu implemenranog skupa pravila
za selekciju. Meum, ovim se mogu odstrani vane informacije, pa mehanizmi za
upravljanje log datotekama moraju bi inteligentni, da prepoznaju podatke istog pa
na razliim plaormama. Takoe, nedostaje standardizacija reprezentacije kontrolnih
tragova (cilj projekta COAST Audit Trail Reducon Group [16]), koja bi omoguila analizu,
a ne interpretaciju sirovih podatka. U log datotekama treba oznaava tragove, koji su
za proakvnu ili reakvnu analizu.
U veini sistema, vreme asovnika razliih plaormi priblino je sinhronizovano
protokolima za automatsku sinhronizaciju (npr. NTP Network Sinhronizaon Proto-
col), koji nisu uvek implemenrani u mreama. Problem sinhronizacije asovnika moe
uca na procese konsolidacije hronologije napada, kao i na podatke, koje daju lteri
log podataka. Veina savremenih mehanizama samo delimino reava ove probleme.
Brojni ala za analizu log datoteka web lokacija su soscirani, ali ne prate bezbednosne
dogaaje, nego posete klijenata.
8.3.6. Mehanizmi za zatitu poverljivosti i integriteta podataka
Ksnovni mehanizmi za zatu poverljivos i integriteta podataka su kriptogra-
fski hardverski ili soverski mehanizmi. Kriptograja je u suni tehnika izmene (a ne
sakrivanja) informacija pomou neke transformacije, na takav nain da samo odreena
grupa korisnika moe izvui originalnu informaciju, a svi drugi ne mogu. Transformacija
otvorenog teksta informacije u neitljiv ifrat, vri se upotrebom kriptografskog algori-
tma i kriptografskog kljua. Kriptograja se deli na: simetrinu, asimetrinu (PKI), hash
funkcije i naprednu kriptoanalizu. Za izvlaenje otvorenog teksta iz ifrata, u sluaju
simetrine kriptograje, ovlaeni korisnici imaju is klju, a kod asimetrine kriptogra-
je ili infrastrukture sa javnim kljuem PKI, imaju matemaki par javnog i privatnog
kljua. U savremenim kriptografskim sistemima bezbednost informacija je vie u kljuu
nego algoritmu, jer je prakno nemogue uva u tajnos algoritam u komercijalnom
okruenju, dok je uvanje tajnos kljua samo problem procesa upravljanja kljuem [5].
Vrednovanje kriptografskih algoritama vri se na osnovu kriterijuma za procenu (Tabela
8.3). Vrednos simetrinih i asimetrinih algoritama za mehanizme zate u odnosu na
relevantne kriterijume date su u Tabeli 8.4 [67].
141
BO FOO
Tabela 8.3. Kriterijumi procene vrednos kriptolokog algoritma
Vrednost (poeni) Prihvatljivost metode za mehanizam zate
5 Veoma prihvatljiv
4 Prihvatljiv
3 Prosean (bez posebnih prednos)
2 Relavno lo
1 Vrlo lo
0 Bez opredelenja
Tabela 8.4. Vrednovanje kriptolokih algoritama za mehanizme zate
Kriterijum Asimetrini algoritam Simetrini algoritam
Idenkacija 5 3
Autenkacija 5 5
Podaci 3 3
Kanjenje 4 2
Trokovi 1 5
Kvalitet prenosa 0 0
Kptereenje kanala 1 5
Ukupno 19 23
Simetrini algoritmi su bolji metod kriptozate, uzimajui u obzir sve kriterijume,
iako su asimetrini algoritmi u prednos u odnosu na nivo zate. Asimetrini algoritmi
su bolji za autenkaciju korisnika, jer se mogu kombinova sa ureajima za jaku aute-
nkaciju (smart karce, tokeni), dok su ekvivalentni simetrinim algoritmima za zatu
sadraja informacija i podataka, jer koriste odgovarajui stepen kriptozate, bez obzira
na p algoritma.
Kriptografski mehanizmi koriste se u arhitekturi zate RS za ifrovanje celog vrstog
diska (npr. Windows VISTA, Windows 7), baza podataka ili datoteka (npr. Win XP KS), a u
RM za zatu poverljivos podataka na prenosnom putu i za implementaciju integrisanih
servisa zate autenkacije, poverljivos, integriteta i neporecivos informacija u PKI
sistemu. Za zatu integriteta podataka kriptografski algoritam od originalnih podataka
pravi saetak (hash) ili digitalni potpis, koji se zam ifruju i skladite na bezbednom
mestu. Ako neovlaeni korisnik izmeni podatke, ne moe se rekonstruisa originalna
hash funkcija ili potpis, to vlasnik moe dokaza verikacijom, jer poseduje klju.
142
KO FOJ
8.3.6.1. Osnovi kriptografije simetrini iarski sistemi
Kriptografski mehanizmi i protokoli zate imaju najznaajniju primenu za zatu
informacija na prenosnom putu kroz potencijalno ne-prijateljske mree. Za zatu se
koriste specino dizajnirani protokoli, koji implemenraju i izvravaju jedan ili vie
mrenih servisa zate: autenkaciju, zatu poverljivos, zatu integriteta i nepo-
recivos.
Kriptografske transformacije su matemake funkcije, odnosno, algoritmi sa kojim se
nizovi bitova otvorenog teksta (KT) prevode u nizove bitova ifrovanog teksta ili ifrata
(aT) i obratno. ifrovanje je postupak prevoenja podatka KT u neitljiv oblik aT, a
formalno se moe zapisa u sledeem obliku:
C = E(P, K
E
),
gde su: P KT; C aT; E-funkcija ifrovanja; K
E
-klju za ifrovanje.
Kbrnu postupak prevoenja aT u KT naziva se deifrovanje:
P=D(C, K
D
),
gde su: P KT; C aT; D - funkcija deifrovanja; K
D
- klju za deifrovanje.
&unkcije ifrovanja i deifrovanja zajedno ine ifarski sistem. Komunikacioni kanal sa
ifrovanjem podataka izmeu dva korisnika prikazan je na Sl. 8.8.
Sl. 8.8. Komunikacija sa ifrovanjem podataka
Alice alje poruku Bobu, ifrovanu kljuem K
E
, a Bob je deifruje kljuem K
D
, a Eve je
napada, koji moe prislukiva nezaen kanal. Komunikacija izmeu izvora i odredita
predstavlja siguran kanal zahvaljujui ifrovanju poruka.
143
BO FOO
Ksnovna podela ifarskih sistema je na simetrinu i asimetrinu kriptograju. Kod
simetrine kriptograje kljuevi za ifrovanje i deifrovanje su jednaki: K
E
= K
D
= K, pa je:
C = E(P, K); P = D(C, K); P = D[E(P, K), K]. Za proces ifrovanja u simetrinoj kriptograji
potrebno je zna kriptoloki algoritam i tajni klju. Svi savremeni simetrini algoritmi
su javno dostupni pa skrivanje algoritma ne doprinosi bezbednos. Zbog toga ih je u
potpunos mogue tesra metodima kriptoanalize i proveri njihovu otpornost na
napade. Bezbednost simetrinih algoritama zavisi od snage samog algoritma, ali pre
svega od tajnos i duine kljua. Najpoznaji simetrini algoritam je DES (Data Encryp-
on Standard) sa K= 56 bita, razvijen u IBM (1977). Kstao je standardni simetrini algo-
ritam sve do 2000. godine, kad ga je zamenio AES (Advanced Encrypon Standard), koji
koris kljueve duine 128, 192 i 256 bita. DES su probili hakeri sredinom 90h go-
dina, udruujui procesorsku snagu svojih raunara u virtuelni super raunar. Ksnovni
nedostatak simetrine kriptograje je upravljanje, odnosno, distribucija kljua. Sigurna
razmena kljua je ozbiljan problem, posebno za komunikacije na veim udaljenosma
i sa vie uesnika. Za n korisnika u komunikaciji potrebno je n(n 1)/2 kljueva, ije je
generisanje i upravljanje neprakno, a razmena nesigurna. Kvo je dovelo do pojave
asimetrine kriptograje.
Kriptografski kljuevi se treraju kao resursi IKTS koje treba izuzetno . uvanje
i upravljanje kriptografskim kljuevima uvek se stepenuje najveim stepenom tajno-
s. &unkcija upravljanja kljuevima obuhvata sledee akvnos: generisanje, prenos
(razmenu), unitavanje, obezbeenje integriteta i nain korienja kriptografskih klju-
eva. Kriptografski klju se generie kao sluajni ili pseudosluajni niz (simetrini) ili
kao proizvodi prosh brojeva velikog broja (PKI). Prenos simetrinih kljueva mora bi
tajni (sauva tajnim sadraj kljua). Kod prenosa javnih kljueva ne postoji problem
razmene, ali ostaju problemi integriteta kljueva, koji se reavaju u kontekstu zatne
mrene arhitekture. Razmena kljueva korisnika u mrei moe se vri direktno ili indi-
rektno.
8.3.6.2. Osnovi kriptografije asimetrini iarski sistemi
Asimetrina kriptograja ili Infrastruktura sa javnim kljuem (PKI), jedna je od najbi-
tnijih infrastrukturnih komponen zate RM iz vie razloga [5, 37, 58, 74]:
obuhvata vei broj korisnika od simetrine kriptograje,
svaki korisnik zahteva samo par kljueva za komunikaciju sa svim ostalim,
delimino reava problem distribucije kljua kod simetrine kriptograje,
obezbeuje okvir za protokole zate transakcija i
integrie servise digitalnog potpisa, zate CIA i jake autenkacije.
U PKI svaki korisnik u vezi ima jedinstven matemaki par javnog (Pk) i privatnog
kljua (Tk). :avni klju se razmenjuje sa svim korisnicima u mrei, a privatni strogo uva.
Glavni nedostatak PKI sistema je poverenje korisnika u povezanost Pk i nominalnog vlas-
nika. Iako se Pk ne mora uva u tajnos kao simetrini, teko je u on line reimu rada
poveza javni klju sa njegovim vlasnikom.
144
KO FOJ
Uobiajen nain za povezivanje Pk sa vlasnikom je pomou digitalnog serkata (DS)
elektronskog dokumenta, koji povezuje Pk sa imenom vlasnika na poverljiv i bezbedan
nain. DS je neka vrsta digitalnog pasoa, uspostavlja identet, neophodan za auten-
kaciju korisnika i poruka i pouzdano pridruuje da par kljueva (Pk, Tk) identetu
korisnika. Moe se primenjiva za verikaciju digitalnog potpisa, kontrolu pristupa web
aplikacijama i za proceduru jake autenkacije. DS mora bi usaglaen i lak za lociranje
i autenkaciju. Moe ima standardni format (npr. X.509), a i ne mora. Deli se prema
nameni na: DS identeta kodira identet principala, DS atributa kodira grupni kredi-
bilitet, DS ovlaenja kodira delegiranje i restrikcije ovlaenja, DS uslova korienja
kodira npr. trokove, atribute uloga, line karakteriske i sl. Generalno, DS je struktuiran
u tri promenljiva dela i sadri Pk vlasnika. Prvi deo tbsCercate su podaci znaajni za
idenkaciju DS, drugi deo signature Algorithm je idenkator algoritma za potpisiv-
anje, a trei deo Signature je sam digitalni potpis [37].
Prvi deo ukljuuje: Validnost DS poetak i kraj vanos DS; Vlasnika DS ime vlasni-
ka DS, kojem se pridruuje Pk, odeljenje i uloga u organizaciji, e-mail, region u dravi,
oznaka drave; Verzija (1,2 i 3); Serijski broj jedinstven redni broj izdatog DS; Ime
izdavaa DS (Issuer) idenkuje serkaciono telo CA (Cercaon Authority); Javni
klju Pk vlasnika DS i idenkator algoritma za koji je namenjen (RSA, DSA, ECDSA);
Dodatne informacije krine i nekrine (idenkatore Pk za proveru DS, namenu Pk,
uslove kreiranja i korienja DS, alternavna imena CA i vlasnika DS). Ako aplikacija koja
koris DS pronae CRITICAL i ne prepozna ga, mora odbaci DS kao neispravan;
Drugi deo je idenkator algoritma za digitalno potpisivanje (RSA, DSA...) i he funk-
cije (MD5, SHA1, SHA2...) za generisanje digitalnog potpisa CA.
Trei deo je digitalni potpis (DP) sa Tk CA. DP je analogan runom potpisu i osigu-
rava autennost. Tipian proces DP generisanje he vrednos dokumenta/ potpisa
i ifrovanje te he vrednos sa Tk autora, to osigurava integritet dokumenta/potpisa.
DP ne obezbeuje zatu poverljivos sadraja dokumenata. Kbino se dodaje istom
tekstu dokumenta i omoguava verikaciju integriteta sadraja (Sl. 8.9).
Sl. 8.9. Sadraj standardnog ITU X.509 DS30
145
BO FOO
Izbor mehanizama zate generalno zavisi od vrednos imovine, koja se i ste-
pena izloenos napadima. Na Sl. 8.10. prikazan je zahtevani nivo mehanizama zate
za aplikacije ili procese, u odnosu na poslovnu vrednost i izloenost [8].
Sl. 8.10. Zavisnost mehanizama zate od vrednos imovine i izloenos
8.4. REZIME
Za klasikaciju tehnikih alata za zatu koris se objektno-orijensana ema, koja
obuhvata tri klase alata: mehanizme zate RS (host-orijensane), namenjene za po-
boljanje podsistema zate prirodnog KS NKSSS hosta (servera ili radne stanice),
aplikacija i podataka; mreno orijensane alate (mehanizme i protokole) za zatu RM
i mehanizme za infrastrukturnu podrku (PKI, smart karce i autenkacioni ureaji).
Unutar prve dve klase, ala zate dalje se klasikuju na mehanizme za autenkaciju
i autorizaciju (RS/RM), zatu integriteta (RS/RM), kontrolu pristupa (RS/RM), monito-
ring (RS/RM) i zatu poverljivos, integriteta i raspoloivos podataka i informacija. U
ovoj klasikaciji vano je razume razlike izmeu integriteta RS/RM i informacija.
Model troslojne strukture apstraktnih nivoa u RS koris se za denisanje slojeva
zate u RS. Operavni sistem (KS) je najznaajniji apstraktni sloj sistemskih programa,
zato to uestvuje u svim zadacima koje RS obavlja. Zata OS odreuje najvii nivo
zate celog IKTS. Ksnovni koncept modela je da vii sloj prima neku vrstu servisa od
nieg sloja sovera. Poto ovi soveri koriste servise koje nudi KS, njihova zata je
nuno zavisna od zate KS i, ako je KS probijen direktno preko sloja aplikacija, lako je
zaobii mehanizme zate baza podataka i srednjeg sloja. Zato je NKSSS osnovni sloj
146
KO FOJ
zate RS, koji treba komplementarno jaa dodavanjem drugih pova kompabilnih
sovera zate.
Generiki servis logike kontrole pristupa ukljuuje komponente za i idenkaciju,
verikacije identeta ili autenkaciju korisnika sistemu/aplikaciji i za autorizaciju, le-
galnim korisnicima, prava pristupa i akvnos na objekma IKTS. Servis kontrole pris-
tupa moe se zasniva na bazi mehanizama mainframe pa liste kontrole pristupa
(ACL), uloga (RBAC), atributa (ABAC), polike zate (PBAC) i adapvnog praenja rizika
(RAdAC). Mehanizmi LAC se jo mogu klasikova u LAC na osnovu obaveze (MAC) i
diskrecionog prava vlasnika (DAC). Savremeni soverski mehanizmi za LAC razliim
plaormama, tzv. mehanizmi za administraciju korisnika organizacije EUA (Enterprise
User Administraon), rade sa NKSSS na veini plaormi i centralizuju upravljanje LAC u
distribuiranom okruenju IKTS.
Monitoring zate RS vre sistemi za detekciju i spreavanje upada u RS IDPS, koji
prepoznaju pokuaje upada, upozoravaju korisnike i vre korekvne akcije. IDPS sistemi
(HIDPS-za RS i NIDPS-za RM) dele se, prema principima detekcije, na sisteme koji koriste
tehniku detekcije na bazi potpisa i sloene detektore anomalija. Savremeni koncept
IDPS koris odreene vrste inteligentnih zamki za napadaa (hony pot), kojima skreu
njihovu panju i izuavaju osobenos u cilju prevenvne zate od sledeeg napada.
Mehanizmi za upravljanje log datotekama obezbeuju selekvan pristup log
datotekama kontrolnih tragova bezbednosno relevantnih dogaaja i smanjuju problem
obima podataka, ltriranjem na osnovu implemenranog skupa pravila. Cilj je standard-
izacija reprezentacije kontrolnih tragova, tako da administratori mogu analizira, a ne
samo interprera podatke.
Integritet RS kontroliu skeneri ranjivos (zate) sistema, koji se obino dele na
skenere ranjivos (zate) RS i skenere ranjivos (zate) RM. Skeneri zate RS rade
na principu periodinog monitorisanja aktuelne konguracije i njenim poreenjem sa
predenisanom. Skeneri sadraja i lteri epote mogu analizira sadraj preuzeh mo-
bilnih kodova ili poruka epote radi detekcije potencijalne povrede sistema zate i
izvravanje akcije odgovora na pretnje; mogu detektova steganografski ugraene slike
i tekst u poruke e-pote i smes ih u karann za dalju analizu. U ovom sluaju skeneri
sadraja direktno se koriste za zatu samih podataka. Skeneri sadraja su kompleme-
ntarni sa AVP analiziraju sadraje poruka i evaluiraju ih u odnosu na predenisanu
poliku, a zam izvravaju neke akcije, kada sadraj ne ispunjava zahteve polika zate.
Raunarski virusi i drugi maliciozni programi naruavaju integritet RS. AVP ispituje ot-
kriveni maliciozni program i ako idenkuje potpis malicioznog programa akvira set
instrukcija za uklanjanje.
Za servis zate poverljivos koriste se simetrini i asimetrini kriptografski mehaniz-
mi tehnike izmene informacija pomou neke transformacije, na takav nain da je samo
odreena grupa korisnika moe izvui u originalnom tekstu. Kriptografski mehanizmi
koriste se u arhitekturi mrene zate za implementaciju integrisanih servisa zate
autenkacije, poverljivos, integriteta i neporecivos informacija.
147
BO FOO
Ala zate: hardverskosoverski me-
hanizmi i protokoli zate (tehnike kontrole
zate); u irem smislu ukljuuju proceduralne
kontrole zate.
Anvirusni programi: programi koji sadre
potpise poznah malicioznih kdova, sa kojim
porede tekue, detektovane kdove, uklanjaju
ih ili stavljaju u karann.
Autenkacija: proces sa kojim korisnik (lice
ili program) dokazuje svoj identet sistemu
ili aplikaciji koji nude neki servis; verikacija
identeta.
Autorizacija: proces dodeljivanja legalnom ko-
risnicima prava pristupa objekma IKTS.
Autorizacioni serveri: pridruuju skup prava
pristupa autenkovanim entema.
Hostorijensani ala: mehanizmi zate na-
menjeni za poboljanje zate NKSSS hosta
(servera, radne stanice), aplikacija i podataka.
Kriptografski mehanizam: tehnika izmene
informacija pomou neke transformacije na
takav nain da je samo odreena grupa koris-
nika moe izvui u originalnom tekstu.
Mehanizmi zate: pojedinani, individualni
algoritmi ili metodi ili hardverskosoverski
moduli za eliminisanje bezbednosnih prob-
lema u mrei.
Podsistem zate prirodnog OS: NKSSS (Na-
ve Operaon System Security Subsystem) os-
novni sloj zate KS u RS; ukljuuje osnovne
mehanizme zate za kontrolu pristupa,
autenkaciju korisnika, logovanje bezbed-
nosnih dogaaja, AVP, ifrovanje fajla i dr.
Program za administraciju korisnika orga-
nizacije EUA (Enterprise User Administra-
on): univerzalno reenje AC za sloene sis-
teme, razliite plaorme i interakvni rad sa
postojeim NKSSS na veini plaormi; central-
izuje upravljanje kontrolom pristupa.
Sistemi za detekciju i spreavanje upada u
sistem IDPS: detektuju pokuaja upada, upo-
zorenje korisnika i korekvne akcije na bazi
tehnika detekcije potpisa i anomalija; dele se
na HIDPS (za RS) i NIDPS (za RM).
Skeneri sadraja i lteri e-pote: analiziraju
sadraj preuzeh mobilnih kodova ili poruka
epote, na potencijalne povrede sistema
zate i reaguju na pretnje.
Skeneri ranjivos (zate) RS: rade na prin-
cipu periodinog monitorisanja aktuelne kon-
guracije RS i poreenjem ove konguracije sa
predenisanom.
Web lteri: mehanizmi mrene zate za AC
internih korisnika web lokacijama i selekvno
blokiranje pristupa zabranjenim web lokaci-
jama, na bazi lokalne polike zate.
1. Dobra klasikacija tehnikih alata je na
bazi:
a. modela ivotnog ciklusa
b. klasikacione objektnoorijensane
eme za sovere zate IKTS
c. strukturnog objektnog pristupa
2. Ala se, u odnosu na pove servisa zate
koje podravaju, dele na alate za:
a. idenkaciju, autenkaciju i autor-
izaciju (RS/RM)
b. ziku zatu (RS/RM)
c. kontrolu pristupa (RS/RM)
d. skeniranje sistema zate (RS/RM)
e. zatu poverljivos, integriteta i
raspoloivos podataka i informacija
3. Koncept slojevite zate zasniva se na
modelu:
a. slojevite strukture apstraktnih nivoa
raunarskog sistema
b. hijerarhijske strukture raunarske
mree
c. ivotnog ciklusa sistema
d. vodopada
148
KO FOJ
4. U servisu RBAC autorizacije prava pristupa
objekma IKTS:
a. korisnik moe bi lan samo jedne
grupe
b. efekvne dozvole korisnika mogu se
nasledi samo iz jedne grupe
c. pravljenjem grupa, administratori prave
manje korisnikih naloga
d. grupe ne mogu ima privilegije, koje se
sukobljavaju
5. Centralizovano upravljanje smanjuje posao
mrenom administratoru:
a. smanjivanjem broja resursa za koje
treba korisnicima da privilegije
b. smanjivanjem broja grupa koje je
potrebno napravi
c. smanjivanjem broja korisnikih naloga
koje treba napravi
d. smanjivanjem broja privilegija koje
treba da svakom korisniku
e. dodeljivanjem korisniku najmanje prava
pristupa
6. Proveru identeta (autenkaciju) pomou
tokena najbolje opisuje:
a. neto to korisnik jeste
b. neto to korisnik ima
c. neto to korisnik zna
lozinke najbolje opisuje:
a. neto to korisnik ima
b. neto to korisnik zna
c. neto to korisnik jeste
biometrike najbolje opisuje:
a. neto to korisnik ima
b. neto to korisnik zna
c. neto to korisnik jeste
9. Privilegovani menaderski nalog se koris
da obezbedi:
a. zatu KS
b. rad sa programima za podrku ili sa
slojem aplikacija
c. kontrolu sistema zate
d. kontrolu korisnikih naloga
10. U savremenim kriptografskim sistemima
bezbednost je vie u:
a. kljuu i procesu upravljanja kriptografs-
kim kljuem
b. algoritmu jer je prakno mogue
uva u tajnos algoritam u komercijal-
nom okruenju
c. protokolima zate
11. Generiki servis logike kontrole pristupa
(LAC) ukljuuje mehanizme za:
a. idenkaciju, verikaciju, autenkaci-
ju i autorizaciju
b. idenkaciju, autenkaciju i autor-
izaciju
c. idenkaciju, autorizaciju, verikaciju i
autenkaciju
d. idenkaciju, verikaciju i auten-
kaciju
12. Diskreciona kontrola (DAC) pristupa se
zasniva na:
a. utvrenim pravilima
b. odluci vlasnika sistema
c. polici zate
d. proceni rizika
13. Kbavezna kontrola pristupa (MAC) se zas-
niva na:
a. odluci vlasnika sistema
b. utvrenim pravilima
c. lis kontrole pristupa (ACL)
d. ulogama u organizaciji
14. Kontrola na bazi polike zate (PBAC)
zasniva se na:
a. lis kontrole pristupa (ACL)
b. ulogama u organizaciji
c. polici zate
d. proceni rizika
15. Univerzalni EUA mehanizmi za central-
izovanu AC:
a. upravlja sa LAC u distribuiranom
okruenju
b. ukljuuje hardverski modul,
upravljakog agenta i korisniki interfejs
c. ukljuuje soverskog agenta,
upravljaku aplikaciju i korisniki inter-
fejs
16. Denicija ranjivos IKTS ukljuuje:
a. greke plana zate, greke hardvera,
greke konguracije RS/RM
149
BO FOO
b. greke sovera, greke hardvera, greke
topologije RM
c. greke sovera, greke hardvera, greke
konguracije RS/RM
17. Proces upravljanja ranjivosma sadri
sledee faze:
a. idenkaciju, procenu, remedijaciju,
izvetavanje, poboljanje i monitoring
b. idenkaciju, planiranje, remedijaciju,
izvetavanje i monitoring
c. idenkaciju, procenu, remedijaciju,
poboljanje i monitoring
18. Za zatu integriteta RS koriste se sledei
mehanizmi zate:
a. kriptografski hardversko soverski
mehanizmi, skeneri i IDPS
b. skeneri ranjivos RS, AVP, skeneri
sadraja, lteri epote, IDPS
c. skeneri ranjivos RS, AVP, skeneri
sadraja, lteri epote, IDPS, kripto-
grafski mehanizmi
19. Kriptograja se deli na:
a. simetrinu, asimetrinu, he funkcije i
naprednu kriptoanalizu
b. simetrinu, PKI, he funkcije i naprednu
kriptoanalizu
c. PKI, asimetrinu, kriptozatu i kripto-
analizu
20. Simetrina kriptograja je bolji metod
zate od asimetrine za:
a. zatu tajnos informacija na komuni-
kacionim linijama
b. integraciju mehanizama autenkacije,
poverljivos, integriteta i neporecivos
informacija
c. anvirusnu zatu i digitalni potpis
d. distribuciju kriptolokih kljueva
21. Asimetrina kriptograja je bolji metod
zate od asimetrine za:
a. zatu tajnos informacija na komuni-
kacionim linijama
b. integraciju mehanizama autenkacije,
poverljivos, integriteta i neporecivos
informacija
c. anvirusnu zatu i digitalni potpis
d. distribuciju kriptolokih kljueva
22. Asimetrini kriptoloki sistem:
a. ima samo jedan klju za ifrovanje i
deifrovanje
b. ima algoritam i matemaki povezan
par kljueva javni i tajni
c. sadri glavne module CA, RA i direkto-
rijum
d. ukljuuje kriptoloki algoritam, jedinst-
ven klju i upravljanje kljuem
23. Simetrini kriptoloki sistem:
a. ima samo jedan klju za ifrovanje i
deifrovanje
b. ima algoritam i matemaki povezan
par kljueva javni i tajni
c. sadri glavne module CA, RA i direkto-
rijum
d. ukljuuje kriptoloki algoritam, jedinst-
ven klju i upravljanje kljuem
24. Glavni nedostatak simetrinog kriptolokog
sistema je:
a. obuhvata manji broj korisnika
b. svaki korisnik zahteva samo par kljueva
za komunikaciju sa ostalim
c. distribucija kljua
d. integrie vei broj mehanizama zate
e. ne integrie vie mehanizama zate
informacija
25. Glavne prednos asimetrinog kriptolokog
sistema su:
a. obuhvata manji broj korisnika
b. svaki korisnik zahteva samo par kljueva
za komunikaciju sa ostalim
c. distribucija kljua
d. integrie vei broj mehanizama zate
e. ne integrie mehanizme zate
150
KO FOJ
9.
TEHNOLOGIJE ZA ZATITU
RA,UNARSKIH MREA
9.1. UVOD
Mrena infrastruktura obuhvata komunikacionu mreu, ureaje za povezivanje,
mane raunare i take povezivanja sa mreom. Uspean napad na mrenu infrastru-
kturu moe onesposobi RM ili je izloi raznim zloupotrebama. Za efekvnu zatu
mrene infrastrukture i RM treba poznava pove potencijalnih napada. Kd veine po-
tencijalnih napada na RM osnovna zata je kontrola pristupa krinim resursima, pro-
tokolima i pristupnim takama, ukljuujui ziku zatu i zatu konguracija ureaja,
neprekidni nadzor mrenog saobraaja, zatu servera, mobilnih ureaja, radnih stanica
i ureaja za umreavanje, NIDPS, zatu udaljenog pristupa (RADIUS, TACAS protokoli)
i zatu beinih RM. Najbitnija komponenta zate RM je PKI, koja obezbeuje brojne
prednos u odnosu na simetrine sisteme, ukljuujui ureaje za zatu kriptografskih
tajni autenkacioni i autorizacioni serveri, kripto-moduli, smart karce, tokeni itd.
Svi povi beinih mrea inherentno su nebezbedni, jer koriste radio frekvencije za
prenos informacija. Beina lokalna mrea (WLAN), klasian Ethernet LAN bez kablovske
infrastrukture, ima najveu praknu primenu. WEP protokol (Wireless Equivalent Pro-
tocol) za zatu WLAN, dizajniran da za CIA informacija kao i kod zikog LAN-a,
pokazao je brojne slabos. Trea generacija (3G) tehnologije beinih sistema koriguje
uoene bezbednosne ranjivos WEP.
9.2. SERVIS LOGI,KE KONTROLE PRISTUPA RA,UNARSKOJ MREI
9.2.1. Mehanizmi logike kontrole pristupa raunarskoj mrei
Koncept LAC, kako se primenjuje u RS, u toj formi ne postoji u RM. Za LAC izmeu dve
RM mogu se koris tehnike kao to su barijere za ltriranje paketa u TCP/IP okruenju
i uspostavljanje zatvorenih grupa korisnika (DMZ), ali ni jedna od ove dve tehnike ne
moe se koris za zatu podataka koji putuju zikim vezama.
9.2.1.1. Logike mrene barijere
151
BO FOO
Logike mrene barijere (Firewalls) su ureaji ili konstrukcije ureaja koje nameu
poliku LAC izmeu dve RM ili segmenata RM. Barijere blokiraju konekcije na bazi poli-
ke i rade na nivoima 3 7 KSI modela. U TCP/IP modelu slojevi 5, 6 i 7 su deo aplikaci-
ja, tako da se polika barijere za blokiranje/doputanje pristupa bazira na mrenom,
transportnom i aplikavnom sloju. Barijere generalno kontroliu saobraaj na mrenom
nivou, ne prepoznaju protokole koji nisu TCP/IP, pa moraju bi specino kongurisane
da prepoznaju druge pove protokola. Kigledno, barijere imaju vrlo ogranieni skup
podataka sa kojima mogu radi, to ograniava i njihove realne rezultate [19].
Veina savremenih reenja ukljuuje autenkaciju korisnika, to je glavni napredak
u razvoju barijera, poto omoguava da se mrena konekcija povezuje sa entetom (ko-
risnikom, procesom), a ne sa mrenom adresom (IP). Postoje dve glavne klase komerci-
jalnih, programskih reenja barijera, koje rade na razliim principima, ali posu sline
rezultate.
Barijere sa uspostavljanjem
veze, kontrolom stanja veze i te-
hnikom ltriranja ruranih IP
paketa od jednog mrenog inter-
fejsa do drugog, presreu ve ru-
rane pakete na mrenom sloju i
analiziraju informacije o protoko-
lu od slojeva 3 7. Takoe, anal-
iziraju informacije o stanju veze,
da bi odredile da li pakete treba
blokira ili propus. Za proto-
kole bez uspostavljanja veze (npr.
UDP), koris se virtuelna sesija,
u kojoj barijera skladi infor-
maciju o stanju veze, ak, iako je
sam protokol bez te informacije
(Sl. 9.1).
Barijere na aplikavnom sloju
poznate kao aplikavna mrena
kapija (gateway), ili proksi, ne
ruraju direktno pakete. Dolazne
pakete procesiraju komunikacio-
ni programi i prenose ih aplikaciji,
koja moe da ita odreeni pro-
tokol na visokom nivou apstrakcije. Poto nameu kontrole na aplikavnom sloju, proksi
barijere su specine za aplikacije, to znai da svaki put kada se razvija novi protokol
za neku aplikaciju, zahteva se novi proksi za zatu. U stvarnos, veina savremenih
Sl. 9.1. Tok procesa ltriranja paketa
152
KO FOJ
protokola nemaju proksi barijere, koje ih prate, a proksi serveri se uglavnom koriste za
kontrolu standardnih Internet protokola, kao to su &TP ili HTTP. Naini rada lterskih i
aplikavnih gateway barijera prikazani su na Sl. 9.2. Sve ee proizvoai kombinuju
karakteriske obe barijere.
Sl. 9.2. Principi rada lterskih i aplikavnih barijera [19]
Primer upotrebe barijere za zatu perimetra (DMZ) RM prikazan je na Sl. 9.3.
Sl. 9.3. Zata perimetra raunarske mree sa dve barijere
153
BO FOO
9.2.1.2. Proksi serveri
Proksi serveri funkcioniu slino aplikavnim gateway barijerama. Dok su barijere
namenjene za kontrolu mrenog pristupa dolaznog i odlaznog saobraaja, proksi serveri
su usmereni na kontrolu konekcija koje dolaze iz interne RM. Proksi serveri zahtevaju
autenkaciju krajnjeg korisnika, vre restrikciju komunikacija na denisani skup pro-
tokola, primenjuju restrikciju kontrola pristupa i loguju kontrolne tragove. Najei
p proksi servera u praksi su web proksi serveri, koji se ne koriste samo za zatu. Na
primer, jedna od najvanijih funkcija web proksi servera je skladitenje u ke memoriju
podataka za poboljanje performansi. Striktno govorei, proksi serveri nisu mehanizmi
za zatu RM i korektnije ih je smatra viefunkcionalnim mrenim ureajima, koji im-
plemenraju vanu bezbednosnu funkcionalnost. Na Sl. 9.4. prikazana je konguracija
servera na aplikavnom nivou.
Sl. 9.4. Konguracija aplikavnog proksija [19]
9.2.1.3. Web filteri
Web lteri se koriste za kontrolu pristupa internih korisnika web lokacijama,
omoguavajui administratoru da selekvno blokira pristup odreenim povima web
lokacija, na bazi lokalne polike zate. Koriste se i za kontrolu produkvnos zaposle-
nih i spreavanje pristupa zabranjenim web lokacijama.
Kdluka o blokiranju/doputanju pristupa, web lter donosi na bazi konsultovanja in-
stalirane baze podataka o potencijalno problemanim web lokacijama, koje odravaju
i regularno auriraju proizvoai, slino auriranju AVP. Neki proizvodi poseduju inteli-
gentne agente, koji analiziraju sve poseivane web lokacije i auriraju baze podataka.
Kvi mehanizmi pino ukljuuju mogunost blokiranja odreenih kategorija sadraja
sa web lokacija, restrikcije za odreeni period dana, denisanje naina monitorisanja
pokuaja pristupa, izdavanje standardnih i kastomizovanih izvetaja i praenje ponaanja
korisnika i poseta lokacijama.
154
KO FOJ
9.2.1.4. Autentifikacioni protokoli
Glavni bezbednosni problem postojeih TCP/IP mrea je lakoa, sa kojom se poda-
ci mogu presres i analizira. Zato, svaki mehanizam autenkacije koji se oslanja na
lozinke u otvorenom tekstu (KT) ili bilo koja predvidljiva razmena podataka, nije bez-
bedna u mrenom okruenju. Standardni mreni protokoli obezbeuju dobru funkcio-
nalnost, ali pokazuju i odreene ranjivos (Tabela 9.1). Zata mrene infrastrukture
deo je reenja ovog problema, ali ne obuhvata mogunost da neovlaeni korisnik moe
koris svoju opremu za pristup mrei i akvira snifer (skener prislukiva) ili slian alat
za kontrolu saobraaja u RM. Takoe, ne moemo, u WLAN mreama ili na Internetu,
verova u mehanizme zate drugih korisnika. Zato je neophodno ugradi mehanizme
zate u sam proces razmene podataka. Uobiajen nain, da se ovo uradi, je korienje
standardnih autenkacionih protokola [35, 36, 74].
Tabela 9.1. Mreni protokoli sa poznam ranjivosma
Protokol Osnovne ranjivos
&TP Nema kriptozatu, izlae korisniko ime, lozinke i podatke u KT.
TELNET
Ranjiv na preplavljivanje bafera, povratni odgovor i spoong za dobijanje
privilegija i otkrivanje lozinke.
HTTP
Vie ranjivos u raznim implementacijama; slaba konguracija HTTP
servera omoguava eskalaciju privilegija.
LDAP i MS
Directory Services
Neke implementacije su podlone preplavljivanju bafera i DoS napadima
sa mogunou izmene privilegija.
SNMP
Mogui DoS napadi i preplavljivanje bafera, ako ostane ime organizacije
i dr. podaci u predenisanoj konguraciji; moe omogui eskalaciju
privilegija i kompromitaciju.
SSH (Secure Shell)
Kada protokol radi pod nalogom ruta, mogui su DoS napadi, eskalacija
privilegija i kompromitacija.
DNS Vie bezbednosnih ranjivos u raznim implementacijama.
Autenkacioni protokoli su posebna oblast. Primer autenkacionih protokola je
NeedhamSchroeder protokol, upotrebljen u Kerberos sistemu u Windows NT 4.0 i kas-
nijim OS, koji ima ranjivost omoguava napadau pristup, upotrebom starog kljua.
Autenkacioni ureaji (smart karca, biometrijski ureaj, token) obezbeuju korisniku
neki ziki idenkator, koji se zahteva za kompleranje autenkacije.
Autenkacioni protokoli se, uglavnom, zasnivaju na konceptu upita odgovora ili
razmene digitalnih serkata. Ksnovna ideja je da sistem zahteva dokaz o identetu,
a korisnici inicijalno koriste neki drugi mehanizam za razmenu kriptografskih kljueva.
Kada korisnik zahteva pristup, idenkuje se sistemu, koji odgovara sa sluajnim upitom
155
BO FOO
(chalange). Korisnik ifruje ovaj upit, koristei svoj tajni klju i alje nazad sistemu, koji
koris matemaki par istog kljua (javni klju korisnika) za deifrovanje originalne infor-
macije. Ako je korisnik jedina osoba, koja poseduje tajni klju, neophodan za ifrovanje
sluajnog upita sistema, ovo je verikacija identeta. Ako upit nije sluajna vrednost,
zlonamerni korisnik ga moe presres, lano se predstavi i izda novu vrednost upita
korisniku, primi transformisani odgovor i obezbedi pristup ciljnom sistemu.
Treba uoi da autenkacija nije isto to i uspostavljanje bezbedne sesije i da svaka
konekcija, koja ne koris dodatne mere zate, kao to su mehanizmi za ifrovanje ili
zatu integriteta, moe bi kompromitovana. U jednostavnom sluaju, autenkacija
korisnika ukljuuje unoenje lozinke preko uspostavljene bezbedne sesije, kao to je
SSL (Secure Socket Layer) protokol. Poloaj SSL protokola u vieslojnoj arhitekturi RM
prikazan je na Sl. 9.5
Sl. 9.5. Lokacija SSL protokola u vieslojnoj arhitekturi RM
Kvaj metod autenkacije korisnika esto se koris za pristup web aplikacijama na In-
ternetu. SSL je osnovni protokol za zaen prenos lozinke. SSL protokol obezbeuje au-
tenkaciju servera klijentu, klijenta serveru i uspostavu bezbedne, kriptoloki zaene,
komunikacije izmeu klijenta i servera. Ksnovni element za dokazivanje autennos
kod SSL protokola je digitalni serkat, koji izdaje serkaciono telo CA (Cercaon
Authority). Digitalni serka, izmeu ostalog, sadre javne kljueve enteta, koji ih
razmenjuju. Programska podrka za upravljanje SSL protokolom na raunaru klijenta/
servera proverava valjanost digitalnog serkata datog servera/klijenta. Svi podaci koji
se razmenjuju izmeu klijenta i servera se ifruju na raunaru poiljaoca, a deifruju na
raunaru primaoca, ime se vri zata poverljivos sesije. Podaci se pre slanja digitalno
potpisuju i na taj nain se pose zata integriteta podataka sesije [5].
SSL protokol koris dva podprotokola: (1) SSL protokol zapisa poruka (SSL record
protocol), koji denie formate poruka za prenos podataka i (2) SSL protokol dogo-
varanja parametara sesije (SSL handshake protocol), koji se koris za razmenu poruka,
sastavljenih prema SSL protokolu zapisa poruka, izmeu SSL klijenta i SSL servera kada
se meu njima po prvi put uspostavlja SSL veza.
156
KO FOJ
SSL protokol podrava vie razliih kriptografskih algoritama za meusobne aute-
nkacije klijenta i servera, razmene digitalnih serkata i uspostavu tajnih simetrinih
kljueva (tj. kljueva sesije). Kriptografski algoritmi korieni kod komunikacije SSL pro-
tokolom prikazani su u Tabeli 9.2.
Tabela 9.2. Kriptografski algoritmi za komunikaciju SSL protokolom
Algoritam Opis i primena kriptografskog algoritma
DES Data Encrypon Standard standardni algoritam za ifrovanje podataka
DSA Digital Signature Algorithm
KEA Key Echange Algorithm za razmenu simetrinih kljueva
MD5 Message Digest v. 5, hash funkcija i algoritam za digitalno potpisivanje
RC2 i RC4 Rivest Ciphers simetrini kriptografski algoritmi koje je razvio Ron Riverst
RSA Asimetrini algoritam za ifrovanje i autenkaciju
RSA
key exchange
Algoritam za razmenu simetrinih kljueva kod SSL protokola zasnovan na
RSA algoritmu
SHA512 Secure Hash Algorithm, hash funkcija duine 512 bita
TripleDES DES algoritam primenjen tri puta nad ism podacima
Algoritmi za razmenu kljueva, KEA i RSA key exchange, odreuju nain na koji kli-
jent i server dogovaraju simetrini klju, koji e koris u SSL sesiji. U najveem broju
sluajeva koris se RSA key exchange algoritam. Tokom uspostavljanja SSL sesije, odnos-
no u fazi dogovaranja kriptografskih parametara, klijent i server biraju najjai skup kri-
ptografskih algoritama, koji oba istovremeno podravaju i koriste tokom SSL sesije. SSL
sesija izmeu klijenta i servera uvek zapoinje razmenom poruka SSL protokola dogo-
varanja parametara sesije, koji omoguava korisniku da izvri autenkaciju servera,
primenom PKI metoda, a klijentu i serveru da zajedno uestvuju u generisanju i izboru
simetrinog tajnog kljua sesije, koji se koris za ifrovanje, deifrovanje i digitalno pot-
pisivanje poruka tokom SSL sesije. Ako server to zahteva, SSL protokol dogovara parame-
tre sesije i omoguava da i server izvri autenkaciju klijenta.
Autenkacioni SSL protokoli doputaju napad ubacivanjem oveka u sredinu i ucaj
na veinu servera na Internetu. Ranjivost omoguava da se napada ubaci u SSL proto-
kol na komunikacionom putu. Pri tome ni veb server ni veb pretraiva ne mogu otkri
da je sesija oteta. Ranjivost dolazi u standardu protokola (formalno poznat kao TLS
Transport Layer Security). Veina SSL implementacija je ranjiva na neki nain. Scenario
napada ukljuuje korisnika koji plaa online raune, banku koja koris protokole zas-
novane na veb servisima i druge aplikacije kao to su mail serveri, serveri baza podataka
itd. Sve biblioteke SSL treba bezbednosno popravi
28
.
28 The Help Net Security News, 05.11.2009.
157
BO FOO
9.2.1.5. Serveri za autentifikaciju i autorizaciju
Autenkacioni i autorizacioni (A&A) serveri obezbeuju centralizaciju upravljanja
procesom autenkacije verikacije identeta i autorizacije pridruivanja skup privi-
legija autenkovanim entema. Iako A&A serveri nisu obavezni u sistemima za kon-
trolu udaljenog pristupa, uobiajeno se koriste za ovaj servis. Na primer, u Windows KS
primarni kontroler domena (PDC) efekvno radi kao autenkacioni server za Windows
klijente u lokalnoj mrei.
Serveri za A&A obezbeuju odgovarajue servise za vie klijenata u klijent-server
arhitekturi. Mogu obezbedi zatu za sve apstraktne slojeve sistema, sve dok su kli-
jen opremljeni sa odgovarajuim interfejsom i korektno kongurisani. Neki serveri
mogu dodeljiva uloge korisnicima (npr. CISCO A&A serveri) [23]. Tipian primer kako
A&A serveri rade, ukljuuje udaljenog korisnika, koji bira broj servera organizacije preko
javne telefonske (PSTN) mree. Ureaj poznat kao server mrenog pristupa NAS (Net-
work Access Server) prima vezu od PSTN i nakon autenkacije korisnika i primene neke
restrikcije, doputa konekciju na zahtevani interni host. Za ove funkcije NAS moe koris-
lokalnu bazu podataka ili, to je ee servise A&A servera. U serverskoj kongura-
ciji NAS je posrednik izmeu korisnika i servera, prenosei svaki zahtev za informacijama
od servera prema klijentu i vraajui odgovor serveru. Kada server ima dovoljno infor-
macija da prihva/odbije zahtev klijenta, tada alje odgovor NAS-u, koji izvrava odluku
prihvatanjem/odbijanjem konekcije prema predenisanoj polici. Metod autenkacije
i upravljanje pravima pristupa kontrolie lokalna organizacija, koja moe koris razne
tehnologije, kao to su lozinke, tokeni ili smart karce.
&leksibilnost podrke razliih metoda A&A pose se implementacijom standar-
dnog protokola na nivou aplikacija izmeu NAS i bezbednosnog servera. Kvi se pro-
tokoli dizajnirani da podre generiku razmenu izmeu NAS i servera koji ne zavisi od
procesa A&A. Postoje dva glavna protokola koji se danas koriste RADIUS (Remote Au-
thencaon Dial In User Service) protokol i TACACS + (Terminal Access Controller Access
Control Service) protokol (Tabela 9.3) [80, 9].
Tabela 9.3. Autenkacioni i autorizacioni protokoli
RADUUS TACACS+
izvrava se preko UDP Izvrava se preko TCP protokola
sadri korisniki prol za autenkaciju sa
svim parametrima korisnika
razdvaja autenkaciju i autorizaciju
koriste ga raunari i mreni ureaji koriste ga mreni ureaji (ruteri, svieri)
158
KO FOJ
&unkcionalni model RADIUS protokola, kojeg koris neki NAS za udaljeni pristup ko-
risnika ima sledee sekvence akvnos (Sl. 9.6):
korisnik inicira dial-up vezu sa NAS serverom; NAS trai korisniko ime i lozinku,
koje korisnik dostavlja NAS-u sa zahtevom;
NAS radi kao RADIUS klijent i alje zahtev za pristup RADIUS serveru;
RADIUS server prenosi autenkacione podatke na A&A server, to moe
ukljuiva i korienje sopstvenog (autorskog) protokola;
server za A&A doputa/odbija zahtev;
RADIUS server odgovara NASu sa porukom da prihvata/odbija pristup, zavisno
od rezultata autenkacije;
ako je autenkacija uspena, NAS server doputa pristup ciljnom hostu.
Sl. 9.6. &unkcionalni model RADIUS protokola
Korienje servera za A&A znaajno poveava bezbednost pristupa udaljenih korisni-
ka, ali stvarni nivo bezbednos dose se u zavisnos od primenjenog metoda A&A. Tako
lozinka ne obezbeuje visoku bezbednost, dok kriptografski mehanizam upit odgovor
pa predstavlja znaajnu barijeru za napadaa. Izbor zavisi od procene rizika. Meum,
ak i sa visoko bezbednom implementacijom, tehnike A&A ne te podatke, koji se
izmenjuju izmeu korisnika i internog RS, kada se veza jednom uspostavi. Zato treba ii
korak dalje i implemenra zatni protokol izmeu krajnjeg korisnika i odgovarajueg
terminala iza NAS. Kvo reenje poverljivost podataka i integritet same sesije.
159
BO FOO
Za web aplikacije, sa zahtevom za visoki stepen skalabilnos, razvijen je EAM (Extra-
net Access Management) programski paket koji obezbeuje servise A&A u ekstranet
okruenju (to je suprotno udaljenom pristupu).
9.2.1.6. Smart kartice i kriptograski moduli
Autenkacioni ureaji obezbeuju korisniku neki ziki idenkator, koji se zahteva
za uspean proces autenkacije. Veina poznah ureaja za autenkaciju spada u
kategorije smart karca i biometrijskih ureaja i tokena.
Za visoku bezbednost RM, u prvom redu, koriste se smart karce i kriptografski mo-
duli za zatu kriptografskih tajni. Sa aspekta zikih karakteriska, postoje tri glavne
klase smart karca: kontaktne zahtevaju ziki kontakt sa itaem karca, beskon-
taktne kapacivno ili indukvno spregnute sa itaem karca i kombinovane karce
obezbeuju oba naina rada [24].
Iako su objavljene bezbednosne ranjivos smart karce (napadi diferencijalnom
analizom i opkom indukcijom greke), smart karce se generalno smatraju bezbe-
dnim okruenjem za skladitenje kriptografskih kljueva i drugih poverljivih informacija
korisnika. Na raspolaganju je veliki broj ureaja sa smart karcama pa bankarskih kar-
ca. U stvari, smart karna tehnologija u velikoj meri je doprinela razvoju koncepta
elektronskog plaanja.
Smart karce za skladitenje kriptografskih tajni korisnika, pristup podacima sa
zahtevom za unoenje personalnog idenkacionog broja PIN (Personal Idenca-
on Number) ili nekog biometrijskog parametra (osak prsta, rene oka, ake itd.) za
otkljuavanje interfejsa, ime se implemenra dvoslojna ili troslojna, jaka autenkaci-
ja, koja od korisnika zahteva viekratnu idenkaciju i verikaciju identeta. Korisnik
nema pristup samom kljuu u smart karci i ne moe ga otkri drugom licu, optuujui
pri tome da je to uradio neko drugi. Postoje dva glavna pa smart karca memorijske
i mikroprocesorske (kriptokarce).
Memorijske smart karce se koriste za skladitenje kljua, dok se kriptografske ope-
racije izvravaju izvan karce, u aplikaciji na host plaormi. Mikroprocesorske ili kripto-
karce, bezbedno skladite klju i omoguavaju kriptografske operacije na samoj karci.
Aplikacije interakvno rade sa kriptokarcom preko API (Applicaon Programming In-
terface). Denisano je i standardizovano nekoliko razliih interfejsa (PKCS#11, PCI, PC/
SC, OCF i CDSA), a izbor zavisi od izvora razvojnog modela. Za zatu aplikacija bolje su
kriptokarce, jer kljuevi nikada ne naputaju bezbedno okruenje, ali panju treba ob-
ra kod implementacije reenja PIN ne sme prolazi kroz KS, to zahteva postojanje
eksternog PIN itaa (interfejsa). Kvaj princip ilustrovan je na Sl. 9.7. [74].
160
KO FOJ
Sl. 9.7. Upotreba kriptokarce sa eksternim itaem karca
Smart karce su dobar izbor za zatu kriptografskih tajni korisnika, ali nisu pravi
izbor za operacije na serverskoj strani, iako se esto koriste za skladitenje kljueva ad-
ministratora za pristup zaenom serveru (gde je administrator u ulozi klijenta). Na
serverskoj strani bolja opcija je skladitenje kljueva na tzv. HSM (Hardware Security/
Storage Module). U ovoj oblas vaan standard je NIST &IPS 1401 i 2 koji pokriva ukup-
no jedanaest oblas dizajna i implementacije kriptografskih modula. Standard se koris
za rangiranje bezbednosnih ureaja na eri bezbednosna nivoa zate (1 najmanji,
4 najvei). Kriptografski moduli se rangiraju na osnovu serije zahteva za derivirane
testove (DTR) [67].
Elektronsko poslovanje donosi prakno neogranien broj klijenata, to zahteva veu
skalabilnost aplikacija i kriptografskih reenja zate. Za bolje performanse kriptogra-
fskih aplikacija koriste se kriptografski akceleratori specijalizovani HSM, koji kombinu-
ju bezbedno skladitenje kljueva sa jakom kriptozatom.
9.2.1.7. Ostali autentifikacioni ureaji i protokoli
Biometrika obuhvata tehnike provere oska prsta, geometrije ruke, mrenjae i DNK,
prepoznavanja govora, lica i facijalne termograje. Svi mehanizmi zate pristupa RM/
RS uvek su kompromis izmeu potrebe za zatom i potrebe za komfornim pristupom
regularnih korisnika. Biometrijski ureaji verikuju identet korisnika na bazi jednog
ili vie zikih atributa, jedinstvenih biometrijskih parametara. Kriterijumi za izbor
biometrijskih tehnika mogu bi razlii, kao to su: performanse i pouzdanost, pogo-
dnost za primenu, kompleksnost korisnike upotrebe, sposobnos korisnika, korisnika
prihvatljivost, trokovi nabavke i dr. Iako se preporuuje biometrijska autenkacija
korisnika, ovu primenu prate brojni problemi: visoka cena, korisnika neprihvatljivost,
161
BO FOO
visok stepen greaka, nemogua autenkacija ureaja, neotpornost na napade (npr.
osak prsta) i dr.
Tokeni se dele na: ureaje za bezbedno skladitenje kriptografskih informacija i
prirune ureaje za autenkaciju. Prvi su alternava smart karcama. Drugi su opre-
mljeni sa malim displejom i tastaturom i generalno se ne moraju poveziva na radnu
stanicu. Ureaj se kongurie sa autenkacionim serverom pre izdavanja prava pri-
stupa korisniku, kada server i token razmene kriptografske tajne. Korisnik unosi lozinku
ili PIN za pristup tokenu, koji na displeju prikae autenkacione podatke potrebne za
pristup autenkacionom serveru. Kve podatke korisnik unosi u svoju radnu stanicu i
komplera proces autenkacije.
Metod generisanja kljueva za komunikacionu sesiju ifrovanja i sistem autenka-
cije, (patent US Br. 7.577.987, 2009), opisuje novi sistem upravljanja ifarskim kljuem,
integrisan sa dvoslojnim autenkacionim protokolom. Kvaj sistem obezbeuje auten-
kaciju strana u vezi, u klijentserver arhitekturi, to omoguava bezbednu distribuciju
tajne sesije simetrinih, sluajnih ifarskih kljueva, generisanih u serveru i distribuira-
nih klijenma. Velika proliferacija B2B i B2C mrea etrgovine, koje omoguavaju konek-
cije korisnika mobilnim ureajima, laptop/desktop raunarima, ATM, PKS terminalima,
VKIP, GPS i drugim ureajima za procesiranje, zahteva poboljanje infrastrukture zate
korisnika, posebno u oblas autenkacije i zate podataka u prenosu.
Upotreba PKI infrastrukture ima izvesna ogranienja za veliki broj korisnika, zbog
sloenos uvoenja tehnologije, trokova i administracije kljueva/serkata. Kva
ogranienja, prevazilazi MEDIA protokol (US patent), korienjem mehanizama za dvo-
slojnu uzajamnu autenkaciju i bezbednu sesiju za distribuciju sluajnog simetrinog
kljua. Zatu razmene kljueva u MEDIA protokolu obezbeuju algoritmi, zasnovani na
sledee tri tehnologije, ugraene u proizvod AuthGard:
arhitektura za generisanje kljua koja koris algoritam TILSA (Time Interplay Lim-
ited Session Random Key) (US Patent No. 7.577.987),
protokol za razmenu kljua koji koris TILSA algoritam i autenkacione parametre
strana u komunikaciji sa iteravnim algoritmom za klju za ifrovanje/deifrovanje KE-
DIA (Key Encrypon/Decrypon Iterave Algorithm) (US Patent No. 7.506.161) i
tehnologija za konverziju kljua KCA (Key Conversion Array), koja obezbeuje vi-
sok nivo zate poruka preko nepoverljivih linija, korienjem jednog od patenranih
algoritama BitVeilUnveil (BitVU), ByteVeilUnveil (ByteVU) i BitByteVeilUnveil
(BBVU) (US Patent No. 7.299.356).
162
KO FOJ
9.2.2. Zatita integriteta raunarske mree
9.2.2.1. Skeneri ranjivosti raunarske mree
Skeneri zate integriteta RM po konceptu su slini skenerima zate RS, s m da se
otkrivaju ranjivos RM. Na Sl. 9.8. prikazana je arhitektura pinog skenera za procenu
ranjivos RS u mrenom okruenju i RM.
a) b)
Sl. 9.8. Tipian skener za procenu ranjivos RS (a) i implementacija u RM (b) [109]
Najjednostavniji skener ranjivos RM samo mapira ureaje povezane u RM, koristei
jednostavni probni ICMP (Internet Control Message Protocol) eho signal, poznat kao
ping. Na Sl. 9.9. prikazan je rezultat pingovanja mrenih ureaja u Nmap alatu (Ping-
Sweep).
Sl. 9.9. Rezultat pingovanja mrenih ureaja u Nmap alatu (PingSweep)
163
BO FOO
Na viem nivou su jednostavni ala koji mogu mapira portove, pingujui individu-
alne TCP ili UDP portove na detektovanim hostovima. Kvi ala mogu mapira mreu
i idenkova koji su mreni servisi operavni. Komercijalni ala, iako koriste manje
vie iste tehnike, znatno su moniji, jer sadre baze podataka sa poznam ranjivosma.
Mreni skeneri su bazirani na slinim principima, kao i host orijensani (Sl. 9.10), tj.
uporeuju aktuelnu konguraciju RM i hostova sa predenisanom referentnom kon-
guracijom i izvetavaju o otkrivenim razlikama. Generalno, skeneri RM obezbeuju
vie vrsta informacija, ali sa manje detalja od skenera RS. Arhitektura skenera ranjivos
RM ukljuuje modul za skeniranje, bazu podataka sa denicijama poznah ranjivos,
modul za generisanje i prezentaciju izvetaja i korisniki interfejs. Modul za skeniranje
implemenra poliku zate, koja omoguava prilagoavanje procesa skeniranja zahte-
vima okruenja, skenira RM, otkriva i poredi tekue ranjivos sa poznam iz baze po-
dataka i daje podatke na izlazu. Rezulta se prikazuju preko korisnikog interfejsa za
izvetavanje.
Sl. 9.10. Skeneri ranjivos raunarskih mrea
Efekvnost skenera RM zavisi od slinih faktora kao i skeneri RS: aurnos baza
podataka poznah ranjivos; lokacije skenera u topologiji RM u odnosu na ureaje,
koji mogu blokira mreni saobraaj (barijere, rutere...), to se mora paljivo planira;
adekvatnos polike skeniranja i ekasnos procesa korekcije, koji sledi po otkrivanju
ranjivos. Poslednji faktor je najvaniji, jer bez otklanjanja uzroka ranjivos RM proces
skeniranja nije zavren. Za procenu ranjivos RM koriste se brojni ala. Na Sl. 9.11a i b
prikazani su primer izvetaja o analizi ranjivos u lokalnoj mrei primenom alata Rena
Network Security Scanner (eEye Digital Security, www.eEye.com).
164
KO FOJ
a) b)
Sl. 9.11. Rezulta analize ranjivos (a) i povi izvetaja (b) u Rena alatu
Analiar zate ili menader, na osnovu ovih rezultata, mogu brzo proceni
podlonost poznam bezbednosnim ranjivosma. Na Sl. 9.11a prikazano je 334 ranji-
vos na 28 maina, od kojih se 194 smatra visoko rizinim. Na Sl. 9.11b ranjivos su pri-
kazane prema stepenu rizika, procentu zastupljenos i srednjoj matemakoj vrednos
broja ranjivos po kategoriji rizika i hostu. Na Sl. 9.12 prikazane su glavne ranjivos RM
u 2006. godini, otkrivene alatom RenaNetwork Security Scanner [60].
Sl. 9.12. Glavne ranjivos RM (2006) [60]
165
BO FOO
Kd 1995. do 1999. godine, javno je objavljeno samo 1.506 ranjivos, a samo u 2000.
1.090. Koristei podatak iz 2000. godine kao osnovu od kojih su mereni relavni nivoi
porasta ranjivos, od 2005. godine zabeleen je porast od preko 500 ranjivos godinje
(Sl. 9.13).
Sl. 9.13. Linearna aproksimacija rasta ranjivos od 20002006 [60]
Na Sl. 9.13. prikazane su otkrivene ranjivos u periodu od 2000. do 2006. godine, sa
linearnom aproksimacijom rasta prema jednaini:
y=805,6x + 716,6
gde je:
y procenjeni broj ranjivos za datu godinu, x procenjeni vremenski period (npr. 2000=1,
2001=2, 2006=7), 805,6 nagib i 716,6 yintercept.
Na bazi ovog trenda procenjen je rast ranjivos za 2006. i 2007. godini na 6.353 i
7.158, respekvno.
9.2.2.2. Skeneri teleonskih veza
Skeneri telefonskih veza su komercijalni razvoj hakerskih alata tzv. war dialing pro-
grama, koji se koriste za idenkovanje potencijalnih ranjivos sistema preko telefonske
linije. Konceptualno su sasvim slini skenerima ranjivos RM; biraju seriju telefonskih
brojeva, vre odreeni broj bezbednosnih provera, izvetavaju o rezultama i na taj
nain prave bezbednosnu mapu telefonskog sistema organizacije, dok skeneri ranjivos
RM mapiranjem IP adresa prave mapu ureaja lokalne mree. Detektuju ranjive puteve
166
KO FOJ
u RM, koji su pristupani sa javne telefonske mree i nepoznate modeme u LAN-u.
Kombinuju tehnike pingovanja i prompts za izvetavanje o ranjivosma KS (npr. slaba
lozinka) i na nivou aplikacija (npr. udaljeni pristup bez lozinke). U veini sluajeva posedu-
ju jednostavan GUI i proizvode nekoliko razliih pova kastomizovanih izvetaja.
9.2.3. Mehanizmi za detekciju i spreavanje upada u mreu
Mreni sistemi za detekciju (NIDS) i spreavanje upada (NIPS) NIDPS, u veini
sluajeva rade na 2. sloju KSI modela. Programska reenja u NIDPS stavljaju mrenu ka-
rcu (NIC) u promiskuitetni reim rada, privilegovanu operaciju na veini NIDPS sistema,
koja daje pristup mrenom saobraaju u realnom vremenu. Na slian nain rade i anali-
zatori mree i sniferski programi. NIDPS sistemi su komplementarni HIDPS sistemima po
mogunos prijema i analize informacija, ali ne i po protokolima koji nisu na raspolag-
anju HIDPS sistemu. Poto rade na mrenom sloju, NIDPS detektuju sisteme nezavisno
od KS i omoguavaju zatu velikog opsega krajnjih plaormi. Mogunos aplikacije
NIDPS sistema u RM prikazana je na Sl. 9.14., a prednos instalacije NIDPS na razliim
lokacijama u RM date su u Tabeli 9.4. [2, 87].
Sl. 9.14. Mogunos primene NIDPS sistema u RM [87]
Tabela 9.4. Zbirne prednos instalacija NIDS na razliim lokacijama u RM
Lokacija Prednost
1. DMZ
Vidi napade sa Interneta koji probijaju odbranu spoljnog perimetra RM.
Isu probleme sa polikom, ili funkcionisanjem mrene barijere.
Vidi napade na web, ili FTP server, koji su obino smeteni u DMZ.
2. Izvan bari-
jere
Dokumentuje broj napada koji pou sa Interneta, a pogaaju RM.
Dokumentuje pove napada koji pou sa Interneta, a pogaaju RM.
167
BO FOO
Lokacija Prednost
3. Na RM
sabirnici
Monitorie mreni saobraaj i poveava mogunost detekcije napada.
Detektuje neovlaene akvnos legalnih korisnika iz RM organizacije.
4. Na krinoj
submrei
Detektuje napade usmerene na krine IKTS i krine objekte IKTS.
Usmerava ogranien resurs zate na najvrednije mrene objekte.
Na Sl. 9.15. prikazane su blok eme centralizovanog (a) i distribuiranog (b) uprav-
ljanja NIDPS sistemom.
a) b)
Sl. 9.15. Upravljanje NIDPS sistemima: centralizovano (a) i distribuirano (b) [87]
Zbog slinos naina rada sa barijerom, NIDPS imaju i nekoliko slinih ogranienja.
Barijera treba da razume i prepozna protokol da bi donela odluku o pristupu na bazi infor-
macija koje sadri, a NIDPS program ne moe detektova anomalije protokola bez takvog
razumevanje. Kigledno, ni barijere ni NIDPS sistemi ne mogu interprera podatke.
Svaka arhitektura sistema zate koja kombinuje barijere, kriptozatu i NIDPS, treba da
uzme u obzir ovo ogranienje [89].
NIDPS program moe igra vanu ulogu u upravljanju malicioznim kodovima, tako to
se moe kongurisa da prepozna odreene potpise i preduzme neke predenisane akcije,
posebno u periodu izmeu inicijalnog napada i raspoloivos prve denicije malicioznog
kda. NIDPS program, takoe, moe bi kongurisan da spreava prolaz inciranih ob-
jekata izvan organizacije, to je koristan mehanizam za spreavanje irenja malicioznih
programa na druge hostove izvan organizacije. Kdgovor NIDPS sistema moe bi iden-
kacija i logovanje dogaaja, neka akvna provmera ili kombinacija ove dve. Pasivna
tehnika upozoravanja ukljuuje izvetavanje o problemu na ekranu monitora, generisanje
SNMP (Simple Network Management Protocol) alarma, akviranje mobilnog telefona i
sl. Akvne mere zate treba paljivo implemenra, poto mogu izazva prekid servisa
posebno u sluaju lanih poziva, jer ukidaju konekcije u interakciji sa barijerom.
168
KO FOJ
9.2.4. Inrastrukturni mehanizmi za zatitu raunarske mree
9.2.4.1. Inrastruktura sa javnim kljuem (PKI)
PKI je koherentna implementacija T, K i U kontrola zate, koja omoguava stranama
u transakciji poverenje u povezanost Pk i njegovog vlasnika, to garantuje CA. Mera u
kojoj se korisnik moe osloni na ovu povezanost zavisi od kvaliteta procesa sa kojim
CA izdaje DS i verikuje identet korisnika serkata. Generalno, PKI nita ne govori
o poverenju korisnika u DS. Iako se bezbednosnom proverom, pre izdavanja serka-
ta, moe obezbedi neki nivo poverenja izmeu korisnika, ova praksa nije obavezna
za CA. Da bi korisnici imali poverenje u DS, CA opisuje praksu i procese, koje koris
za izvravanje dnevnih poslova u Izjavi o praksi serkacije CPS (Cercate Pracce
Statement). Pravila i ogranienja korienja svakog posebnog pa DS denisana su u do-
kumentu Polika serkacije CP (Cercate Policy). U ovoj oblas postoji dosta zrelih
standarda i uputstava, ali naalost svi nisu koherentni [5, 58, 74].
Osnovni moduli PKI sistema za veinu implementacija ukljuuje CA, Telo za registra-
ciju RA (Registraon Authority) i Imenik (Directory). Termin CA se koris istovremeno
za opis enteta, koji upravlja i administrira PKI sistem i komponente zate za izdavanje
i upravljanje DS. Korektna interpretacija je obino evidentna iz konteksta. PKI sistem
moe implemenra i dodatne module, kao to su hardversko soverski modul (HSM),
smart karce i tokeni, kriptografski akceleratori za ubrzavanje performansi, OCSP (On-
line Cercaon Status Protocol) responder za verikaciju statusnih informacija o DS u
realnom vremenu, programi za validaciju transakcija i drugi programi za podrku. Glavni
PKI moduli u interakvnom radu prikazani su na Sl. 9.16.
Sl. 9.16. Kljuni moduli PKI sistema
169
BO FOO
U imeniku, pa X500 ili LDAP (Lighweight Directory Access Protocol) servera, uvaju
se statusne informacije o akvnim i opozvanim DS. Aplikacije razvijene za PKI sistem
koriste jednostavan LDAP protokol, za pristup Imeniku i izvlaenje informacija o DS. De-
taljniji opis funkcionalnos CA i RA dat je u Tabeli 9.5.
Tabela 9.5. &unkcionalnos CA i RA
CA
Prihvata potvrene zahteve za generisanje i povlaenje DS od RA i operatera CA CAK (Cercaon
Authority Operator) i isporuuje DS i potvrdne poruke.
U skladu sa polikom, dostavlja krajnjim korisnicima par javnih i privatnih kljueva za ifrovanje/
deifrovanje koji su oznaeni da se arhiviraju u bazi kljueva.
Digitalno potpisuje serkate krajnjih korisnika i serkate podreenih CA, kao i drugih CA, u sluaju
unakrsne serkacije (crosscercaon).
Digitalno potpisuje sve informacije objavljene u lis za opoziv serkata CRL (Cercate Revocaon
List) i opoziv drugih CA ARL (Authority Revocaon List.).
Digitalno Potpisuje sve poruke koje CA alje i koje se razmenjuju preko CA u PKCS#7 formatu.
Verikuje sve poruke koje dobije u cilju provere autennos i zate integriteta.
Digitalno potpisuje sve relevantne podatke, informacije i log datoteke, arhivirane u bazi podataka CA;
svaki ulazak u bazu poseduje odgovarajui jedinstveni broj.
Kpciono publikuje DS, CRL i ARL na LDAP ili X.500 direktorijumu, kao i na HD.
Kpciono moe publikova CRL i na KCSP (Online Cercaon Status) serveru.
Generie svoj par kljueva za asimetrini kriptografski algoritam i za CAK.
Kpciono proverava da li svi izda serka imaju jedinstveni Dname i javni klju.
RA
Zahteve za izdavanjem ili povlaenjem DS, koje RAK potvrdi, prosleuje do CA; prima DS i potvrdne
poruke od CA i prosleuje do RAK.
Prosleuje web zahteve za izdavanjem ili povlaenjem DS (preko gatewaya) do RAK i dostavlja ser-
kate i informacione poruke nazad gatewayu.
Digitaln Potpisuje sve poruke koje alje RA.
Procesira sve dobijene, digitalno potpisane poruke verikuje DP, autennos potpisnika i integ-
ritet sadraja poruke.
Sve poruke koje se razmenjuju preko RA ifruje u PKCS#7 formatu.
Sve podatke i log datoteke digitalno potpisuje i arhivira u bazi podataka RA; svaki ulazni slog ima
jedinstveni broj procesiranja.
Autenkuje mree krajnjih korisnika u sluaju udaljene registracije preko weba.
Vri inicijalizaciju i distribuciju hardverskih ureaja (smart karca, tokena, HSM).
Generie i upravlja kljuevima, kontrolie registrovane izmene.
Izvetava o akvnosma registrovanja i opoziva serkata.
Kd RAK ili preko weba prihvata zahteve za registraciju, izdavanje i/ili opoziv DS.
Verikuje ove informacije i dodatno proverava identet posedovanje Pk.
Prihvata ili odbija zahteve; DS ili informacije o opozivu DS prosleuje CAu na potpisi; ako je zahtev
odbijen obavetava korisnika.
Registruje u repozitorijumu izda serkat i prosleuje korisniku kopiju, koju potpie CA; objavljuje
informacije o opozivu serkata po planu.
170
KO FOJ
Generalno, arhitektura sloenog PKI sistema moe ima hijerarhijsku, reetkastu i
tranzicionu (bridge) strukturu organizacije CA.
Hijerarhijska struktura PKI podrazumeva razvoj i implementaciju rut CA, koje je stub
poverenja ove infrastrukture. Kbino je na nacionalnom nivou, ima samo-potpisani DS,
strogo uva Tk, a Pk objavljuje u vie raspoloivih baza, da bi obezbedio nekoliko refe-
rentnih i redundantnih izvora. Izdaje i potpisuje DS, uslovljava tehnologiju, metode rada
i poliku drugih CA, koji u svojim domenima zate potpisuju DS korisnika ili niih CA, u
vieslojnoj hijerarhijskoj strukturi. Podreeni CA ne izdaje DS rut serkacionom telu.
Rut CA ograniava dubinu hijerarhije, to je i osnovni nedostatak ove arhitekture. Du-
bina hijerarhije denie koliko niih CA moe bi formirano ispod rut CA, to postaje
suvie kompleksno za velike PKI sisteme. Bezbednost hijerarhijske strukture u celini za-
visi od tajnos Tk rut CA. Rut CA ne mora nuno bi na vrhu hijerarhijske arhitekture
PKI, ali mu svi korisnici veruju. Serkacioni put je jednosmeran i poinje sa Pk rut CA
nadole. Glavne prednos su jednostavna struktura, jednosmeran put poverenja i cen-
tralno upravljanje. DS je manji i jednostavniji, a struktura skalabilna rut CA iz PKI1
moe se poveza sa rut CA iz PKI2 ili podreenim CA iz PKI2. Serkacioni put se lako
se razvija i relavno je kratak najdui put = dubini stabla + 1. Korisnici iz sadraja DS
implicitno znaju za koje se aplikacije DS moe koris. Glavni nedostatak je oslanjanje
na jednu taku poverljivos Tk rut CA i ako doe do kompromitacije ugroena je cela
PKI struktura. Ne postoji neposredna procedura tehnikog oporavka. Takoe, sporazum
nekih korisnika samo sa jednim rut CA moe bi poliki onemoguen, tranzicija od seta
izolovanih CA logiski neprakna i tee upravljanje za vee PKI sisteme.
Reetkasta struktura direktno povezuje pojedinana CA i sva CA su poverljive take.
CA razmenjuju serkate jedni sa drugima (unakrsna serkacija), pa je put poverlji-
vos dvosmeran. Kve serkate izdaje jedno CA koje poseduje privatni klju (Tk), a Pk
se prosleuje svim CA u mrei. Unakrsnim DS veruju svi CA u mrei. Glavne prednos
su uzajamna distribucija poverenja na sve CA, direktna povezanost pojedinanih CA i
dvosmeran put poverenja. Glavni nedostaci su visoki trokovi uspostavljanja i uslov-
ljenost poverenja, gde neko CA moe ogranii poverenje, specikacijom u DS. Zato
je izgradnja puta poverenja neodreena, a serkacioni put kompleksniji. Maksimalna
duina serkacionog puta je broj CA u mrei. U sluaju kompromitacije, oporavak je
tei i kompleksniji, jer postoji mogunost stvaranja beskonane petlje DS. Aplikacija DS
se odreuje na bazi sadraja, a ne lokacije CA u PKI strukturi. Kva arhitektura zahteva
vee i kompleksnije serkate i kompleksnije procesiranje serkacionog puta. Gener-
alno, glavni kriterijumi za uspostavljanje PKI sistema na nacionalnom nivou su integri-
sanje postojeih arhitektura bez bitnih modikacija ish, uspostavljanje najlakeg puta
za scanje poverenja u digitalno potpisane poruke i zahtev za globalnom interoperabil-
nos nacionalnih PKI sistema. Za globalnu konguraciju PKI sistema prva dva modela ne
odgovaraju, zbog relavne izolovanos, kompleksnos i tekoe denisanja rut CA u hi-
jerarhijskoj arhitekturi i visoke kompleksnos mrene arhitekture za sloene PKI sisteme
na nacionalnom nivou.
171
BO FOO
Tranzicione arhitektura BCA (Brige CA) je krian faktor uspeha za inter-opera-
bilnost nacionalnih PKI na globalnom nivou. U suni BCA je, za druge PKI arhitekture,
reetkasta arhitektura sa habom ili hijerarhijska arhitektura sa spoljnom vezom. BCA ne
izdaje DS direktno korisnicima i u tom smislu nije poverljivi entet za korisnike PKI. BCA
je eksibilan mehanizam, koji povezuje razliite PKI arhitekture. Poverenje se prenosi
prema modelu zvezde gde je nacionalni BCA centar poverenja. Korisnici koriste svoje
vlaste i samopotpisane CA kao osnovne take poverenja, umesto manje poznatog rut
CA. Dakle, poverenje se gradi sa vlasm CA kroz BCA, koje moe da izdaje DS (a la rut
CA) glavnim CA (principalima) ili listu poverljivih CA, umesto DS.
Primer 1: EU BridgeCA, Nemaka banka, Telekom i TeleTrust BCA izdaju DS glavnim CA, koji
su potpisani sa Pk BCA, objavljenim na sajtu BCA. Korisnici pino znaju put do BCA i treba
da odrede put od BCA do drugih korisnika DS. Duina serkacionog puta duplo je vea
od hijerarhijskog, ali decentralizovana struktura BCA mnogo preciznije modeluje realne
odnose organizacija.
Primer 2: BCA ne izdaje DS nego listu poverljivih CA (TL), potpisanu sa Pk BCA, sa informaci-
jama o njihovom statusu (objavljen je italijanski standard ETSI TS102 231 za harmonizaciju
statusnih informacija o CA). U tom sluaju korisnici mogu sami odlui kojem e CA sa liste
ukaza poverenje.
Glavne prednos BCA arhitekture su laki oporavak puta poverenja nego u mrenoj,
a tei nego u hijerarhijskoj arhitekturi i to krajnji korisnici mogu koris postojee DS
(do opoziva) i nemaju promena konguracije sistema. Glavni nedostaci su to korisnici
BCA serkata sami moraju uspostavi hardversko-soversku infrastrukturu za BCA
serkate i poslovne procese, uves u upotrebu DS i obui korisnike. BCA koji izdaje
CA, ne daje detaljnije informacije o statusu CA, to reava modikovani BCA sa listom
poverljivih CA. Na Sl. 9.17. prikazan je funkcionalni model globalne arhitekture intero-
perabilnih, nacionalnih PKI sistema.
Sl. 9.17. Model globalne arhitekture PKI sistema
172
KO FOJ
Zata integriteta u mrenom okruenju ukljuuje zatu integriteta podataka i
sesije komunikacije. Koncept integriteta podataka je razumljiv obezbedi da podaci
sgnu na odredite neizmenjeni. Integritet podataka te protokoli, tehnikom uzima-
nja saetka podataka (hea ili message digest MD). He je jednosmerna matemaka
funkcija, koja se lako rauna u jednom, a teko ili prakno nikako u inverznom smeru.
He algoritam od jedinice podataka promenljive veliine stvara saetak podataka, ija je
vrednost ksne veliine; daje istu he vrednost na osnovu ish ulaznih podataka, odnos-
no, dve razliite ulazne veliine nikada nemaju istu he vrednost. He podaci se mogu
poredi sa oskom prsta neke osobe. Ksak prsta je jedinstven za tu osobu i relavno
ksne veliine, ali ni priblino nije velik kao ta osoba. He je jedinstven idenkator, koji
je prakno nemogue dobi sa drugaijim ulaznim podacima, a deo je svih podataka
koje predstavlja. Uobiajeni he algoritmi koji se najvie koriste su: MD4 izraunava
128-bitni he, vrlo je brz i srednje snage [5]; MD5 128-bitni he, brz, bezbedniji od
MD4, iroko primenjen; SHA1 (Secure Hash Algorithm)160bitni he, sporiji od MD5,
standardan u federalnom IKTS vlade SAD i SHA256, SHA384, SHA512, SHA1024 i
SHA 2048 (u razvoju) [25].
Poiljalac poruke pravi he poruke sa odreenim kljuem, koji se naziva kd za pro-
veru autennos poruke MAC (Massage Authencaon Code), a primalac verikuje
he vrednost sa ism kljuem. Ako se dobije ista vrednost hea, poruka je neprome-
njena.
Integritet sesije obezbeuje zatu komunikacione sesije od bilo koje izmene.
Tehnike zate su obino zasnovane na ukljuivanju brojeva sekvenci ili vremenskog
peata u zaenoj poruci. Koriste se asimetrini algoritmi u kombinaciji sa he funkci-
jama i digitalnim potpisom. Digitalni potpis poiljalac pravi heovanjem teksta poruke
i ifrovanjem te vrednos sa Pk primaoca. Primalac deifruje ifrovanu he vrednost
poruke sa svojim Tk i verikuje he vrednost sa MAC. Ako se dobije ista vrednost hea,
sesija je nepromenjena.
Servis neporicanja spreava uesnike u transakciji da kasnije poriu izvrene akcije.
Mnogo je tee sprei primaoca poruke da porekne prijem poruke, nego poiljaoca da
porekne da je poruku poslao. Da bi dokazao da je poiljalac poslao odreenu poruku,
primalac mora zahteva da poiljalac sistematski digitalno potpisuje poruke pre slanja.
Ako poiljalac kasnije pokua da porekne slanje poruke, primalac jednostavno proizvede
i verikuje digitalno potpisanu poruku kao neporeciv dokaz da je poiljalac zaista po-
slao odreenu poruku. Ako poiljalac eli dokaz da je primalac primio odreenu poruku,
mora zahteva da primalac sistematski generie potvrde o prijemu za svaku poslatu po-
ruku i da je digitalno potpisuje. Ako primalac kasnije pokua porei da je primio poruku,
poiljalac proizvede i verikuje digitalno potpisanu potvrdu o prijemu. Treba zapazi da
je ovde bitno razlikova itanje poruke od prijema poruke.
Zata poverljivos mrenih podataka i informacija pose se korienjem PKI
sistema za razmenu simetrinog kljua za ifrovanje, koji se esto naziva sesijski klju.
Postoje dve osnovne tehnike za sporazumevanje o sesijskom kljuu: korienje pro-
173
BO FOO
tokola za uspostavljanje kljua (npr. Di e Hellman) i generisanje simetrinog kljua,
ifrovanje sa Pk udaljenog korisnika i transfer asimetrinim PKI sistemom [5]. Kombinuju
se prednos asimetrinih i simetrinih algoritama. Asimetrini algoritmi se koriste za
distribuciju simetrinog kljua, a simetrini - za ifrovanje. Za zatu komunikacije dve
poverljive RM kroz nepoverljivi Internet, koriste se virtuelne privatne mree VPN (Vir-
tual Private Networks). VPN veze su ifrovane upotrebom IPsec protokola zate i mogu
se koris na privatnim i javnim mreama. VPN vezu prave dva VPN servera ili VPN kli-
jent i VPN server. Da bi realizovali ifrovanu vezu, dva ureaja koriste dogovoreni metod
ifrovanja. Ako VPN implemenraju dva servera, omda se ifruje komunikacija izmeu
dve take [26].
9.2.4.2. IPSec protokol
Distribuirani IKTS se od spoljnih napada, upotrebom mehanizama zate komu-
nikacione opreme, mrenih barijera, NOSSS zate na mrenom nivou i zike zate
pristupa ruterima i serverima. Zatu na mrenom nivou obezbeuju mehanizmi za
autenkaciju i zatu integriteta i tajnos IP paketa izmeu mrenih vorova. Auten-
kacija i zata integriteta IP paketa, najee se realizuje primenom kriptografskih
kompresionih funkcija, upotrebom tajnog kljua MAC, he funkcija i DS, dok se zata
tajnos ostvaruje primenom simetrinih algoritama. Najpoznaji protokol zate na
mrenom nivou je IPSec protokol (Internet Protocol Security) [26].
Veina RM, ukljuujui i Internet, za komunikaciju koris TCP/IP skup protokola. TCP
protokol je zaduen za prenos podataka, a IP za usmeravanje paketa podataka kroz
mreu, od izvorita do odredita. IP skup protokola pokazuje dobra komunikacijska svo-
jstva, skalabilnost, prilagodljivost i otvorenost prema razliim arhitekturama i mrenoj
opremi, ali ne obezbeuje CIA prenoenih podataka. Prenos osetljivih podataka u IP
mreama potrebno je obezbedi na transportnom i aplikavnom nivou. Primer bezbed-
nosnog mehanizma, koji deluje izmeu aplikavnog i transportnog sloja je SSL protokol.
Problem je, to postoji veliki broj razliih protokola sa aplikavnog nivoa, za koje je
potrebno posebno razvija mehanizme zate.
IPSec protokol je nastao kao rezultat inicijave da se razvije jedinstveni bezbednosni
mehanizam za zaeni prenos podataka u IP mreama. Razvila ga je grupa IET& (Inter-
net Engineering Task Force), kao proirenje osnovnog IP protokola. IPSec protokol je deo
mrenog sloja, iji je zadatak prikupljanje podataka o stanju mree i usmeravanje paketa
podataka izmeu mrenih vorova. Mreni sloj koris funkcionalnos zikog i sloja veze
podataka, dok za usmeravanje paketa koris vlastu logiku. U IP mreama ovaj sloj se
naziva IP sloj, a usmeravanje paketa kroz mreu se obavlja prema IP protokolu. Znaajno
svojstvo IP mrea je potpuna homogenost mrenog, odnosno IP sloja, dok u ostalim slo-
jevima postoji odreen stepen raznovrsnos. IP sloj koris jedinstveni IP protokol. Svo-
jstvo homogenos IP sloja bitno pojednostavljuje uvoenje jedinstvenog bezbednosnog
174
KO FOJ
mehanizma u IP mrei. Zatom komunikacije na nivou IP protokola se celokupna
mrena komunikacija. Protokol za zatu komunikacije u mrenom, odnosno IP sloju,
naziva se IPSec protokol.
IPSec protokol zadrava kompabilnost s postojeim IP protokolom, to omoguava
transparentnost mrene opreme, zasnovane na IP protokolu, odnosno, samo dva kra-
jnja uesnika u komunikaciji, moraju ima podrku za komunikaciju IPSec protokolom,
dok mrena vorita i ruteri ne moraju ima ovu podrku. &iziki sloj i sloj veze podataka
koriste Ethernet zaglavlje i Ethernet zatu. Za pravilan rad mrenog sloja i IP protokola
bitno je IP zaglavlje, u kojem su, izmeu ostalog, upisane izvorina i odredina adresa IP
paketa, koje su potrebne za usmeravanje paketa kroz mreu. Kstali delovi TCP/IP pak-
eta, pripadaju viim slojevima i za IP sloj predstavljaju obine podatke koje je potrebno
prene kroz mreu. Da bi se zadrala kompabilnost IPSec sa IP protokolom, potrebno
je, da u strukturi IPSec paketa podataka, ostane ouvano IP zaglavlje. IPSec protokol
stoga obavlja kriptografske akcije nad zaglavljima i podacima viih slojeva. Polje sa IP-
Sec zaglavljem i podacima ukljuuje, u ifrovanom obliku, TCP zaglavlje, kao i sva ostala
zaglavlja i podatke viih slojeva. Na Sl. 9.18. prikazana je kompabilnost IP i IPSec pro-
tokola za komunikaciju preko Ethernet mrea.
a)
b)
Sl. 9.18. Struktura paketa podataka za prenos
putem Ethernet mrea: IP (a) i IPSec (b)
Za zatu poverljivos, integriteta, autennos i neporecivos prenoenih poda-
taka, IPSec koris tri potprotokola, koja se razlikuju po vrs IPSec zaglavlja i podataka
i to: zaglavlje za autenkaciju, enkapsulirani ifrovani podaci i zaglavlje za razmenu
kljueva.
Zaglavlje za autenkaciju AH (Authencaon Header) koris se za proveru iden-
teta poiljaoca podataka i otkrivanje naruavanja integriteta podataka tokom prenosa
kroz mreu (Sl. 9.19).
Sl. 9.19. Struktura IPSec paketa podataka uz korienje
AH potprotokola u Ethernet mrei
175
BO FOO
Izvodi se metodom digitalnog potpisivanja podataka. Kvo zaglavlje ne uva tajnost
podataka i koris se samo u sluajevima kada je bitna autennost i integritet poda-
taka. Potprotokol za autenkaciju moe bi primenjen kao samostalni potprotokol
IPSec protokola ili u sprezi sa ESP potprotokolom. Samostalni AH potprotokol osigu-
rava autennost i integritet prenoenih podataka, dok sprega AH i ESP potprotokola
osigurava autennost, integritet i tajnost prenoenih podataka. Razlika izmeu AH
potprotokola i polja podataka za autenkaciju kod ESP potprotokola je u tome to AH
potprotokol, osim ESP polja ili TCP paketa, ako se ne koris ESP, digitalno potpisuje i IP
zaglavlje. Da bi se uvek osigurao minimalni nivo autenkacije, predloeno je da sve
verzije AH potprotokola za digitalno potpisivanje podataka koriste MD5, SHA1, SHA2 i
druge algoritme.
Enkapsulirani ifrovani podaci ESP (Encapsulang Security Payload) IPSec paketa,
koriste se kada je bitnije ouva tajnost prenoenih podataka (Sl. 9.20).
Sl. 9.20. Struktura IPSec paketa uz korienje ESP potprotokola u Ethernet mreama
Za stvaranje ESP polja podataka koriste se simetrina kriptograja, u sprezi s meto-
dom digitalnog potpisa podataka. ESP potprotokol uva tajnost podataka, primenom
nekog simetrinog kriptografskog algoritma na sadraj IP paketa. Za minimalni nivo
zate predloen je standardni 56bitni DES algoritam. Sastavni delovi ESP polja su
indeks bezbednosnih parametara SPI (Security Parameter Index), redni broj paketa,
korisni podaci, dopuna do punog bloka, veliina dopune do punog bloka i oznaka pro-
tokola, koji sledi nakon ESP polja.
SPI je 32bitni jednoznani broj, kojim su odreeni kriptografski algoritmi, kljuevi,
trajanje kljueva i ostali bezbednosni parametri, korieni u komunikaciji. Primalac ga
koris da deifruje podatke sa ism parametrima, kojim su i ifrovani. Redni broj paketa,
uveava broja paketa za jedan, prilikom svakog slanja paketa na istu odreditu adresu,
uz korienje istog SPI. Koris se da bi se pake na odreditu mogli pravilno porea,
kao i za spreavanje napada ponavljanjem ish paketa. Korisni podaci su stvarna korisna
informacija, koja se prenosi mreom. Dopuna do punog bloka (Padding) je koliina od 0
255 bajtova, koji se dodaju, da bi se blok korisnih podataka dopunio do veliine punog
bloka, koju koris kriptografski algoritam. Veliina dopune do punog bloka (Pad Length)
sadri podatak o broju bajtova, koji su doda za dopunjavanje korisnih podataka do
punog bloka. Kznakom protokola, koji sledi nakon ESP polja (Next Header), naznaava
se prisustvo podataka za autenkaciju na kraju ESP polja. Podaci za autenkaciju nisu
obavezni deo ESP polja i mogu se izostavi. Kznaka protokola oznaava da li su podaci za
autenkaciju sastavni deo ESP polja. Prva dva dela u ESP polju, SPI i redni broj paketa,
176
KO FOJ
kroz mreu se prenose u otvorenom obliku, jer su potrebni primaocu, pre nego to obavi
deifrovanje, a ostali delovi se ifruju. Nakon oznake protokola, moe se nalazi polje
sa podacima za autenkaciju, odnosno, digitalni potpis korisnih podataka, ija duina
zavisi od korienog algoritma. Digitalno se potpisuju svi prethodno navedeni delovi
ESP polja, ukljuujui i SPI i redni broj paketa. ESP polje se digitalno potpisuje sa MD5,
SHA1 ili SHA2 algoritmom, nakon to se korisni podaci ifruju.
Zaglavlje za razmenu kljueva IKE (Internet Key Exchange) koris se u potprotokolu
za razmenu kljueva, a slui za dogovaranje bezbedonosnih parametara IPSec komu-
nikacije i razmenu simetrinih kljueva. IKE se prilagoava uspostavljanju metoda au-
tenkacije, kriptografskih algoritama i duine kljueva, kao i nainu razmenu kljueva
izmeu uesnika komunikacije. Za dogovaranje parametara bezbedne komunikacije, IKE
potprotokol uvodi koncept bezbednosne asocijacije SA (Security Associaon), predstav-
ljene SPI indeksom. SA objedinjuje sve podatke, potrebne uesnicima za komunikaciju
IPSec protokolom; denie vrstu i nain rada algoritma za digitalno potpisivanje podata-
ka i korienih kljueva; denie vrstu i nain rada kriptografskog algoritma za ifrovanje
podataka ESP potprotokola; denie sprovoenje ili izostavljanje postupka sinhroni-
zacije kod kriptografskih algoritama, parametre sinhronizacije, protokol za utvrivanje
autennos podataka (AH ili ESP), ivotni vek i uestalost promene kljueva, ivotni
vek i izvorine adrese SA i stepen osetljivos prenoenih podataka. SA se moe sma-
tra vrstom sigurnog komunikacijskog kanala kroz rizino mreno okruenje, izmeu
uesnika koji komuniciraju IPSec protokolom.
Servisi i mehanizmi mrene zate zbirno su prikazani u Tabeli 9.6.
Tabela 9.6. Servisi i mehanizmi mrene zate
Mehanizam
Servis
Kz DS AC
Integritet
podataka
Aut.
Pading
saobraaja
Kontrola
saobraaja
Notorizacija
Aut. enteta x x x
Aut. izvora
podataka
x x
AC x
Pov. podataka x x
Pov. toka saobraaja x x x
Integritet
podataka
x x x
Neporecivost x x x
Raspoloivost x x
Legenda: Aut. autenkacija; AC kontrola pristupa; Pov. poverljivost; Kz ifrovanje; DS digitalni potpis;
Pading saobraaja ubacivanje bita u prazne prostore niza podataka radi oteavanja prislukivanja; Notor-
izacija korienje poverljivog provajdera TTP (Trusted Third Party) za obezbeivanje odreenih svojstava
razmene podataka.
177
BO FOO
9.2.5. Bezbednost beinih lokalnih mrea
Svi povi beinih lokalnih mrea WLAN (Wireless LAN) sa razliim brzinama
prenosa imaju iste osnovne bezbednosne probleme koriste radio frekvencije za pre-
nos informacija, koje se lako mogu kompromitova (Tabela 9.7).
Tabela 9.7. Standardni povi beinih mrea
Standard &rekvencija
Ksnovna/Realna
propusna mo
Kompatabilnost sa
802.11b
Godina
primene
Domet
In/Kut (m)
802.11a 5Ghz 54 /25 Mbps Ne 2002 35/120
802.11b 2.4Ghz 11/5 Mbps Da 1999 38/140
802.11g 2.4Ghz 54/1 Mbps Da 2003 75/400
802.11i 2.4Ghz 54/1 Mbps Da 2004 100/400
802.11e 2.4Ghz
144/35 Mbps
(mobilni pristup)
Ne 2005 100/400
802.16n 5Ghz
600/288,9 Mbps
(mobilni pristup)
Ne 2010 70/250
Beini LAN (WLAN) je Ethernet LAN bez kablovske infrastrukture. Lako se imple-
menra, tedi mrenu infrastrukturu i ima najveu praknu primenu od svih beinih
mrea. Beina tehnologija je izgraena na bazi IEEE 802.11b standarda u SAD [7, 14,
36, 57] i GSM (Groupe Spcial Mobile) standarda u EU. Prema WLAN standardu IEEE
802.11b, informacije se prenose sa WEP protokolom (Wireless Equivalent Protocol) za
zatu CIA informacija, slino prenosu zikim putevima.
WEP protokol radi na zikom i sloju veze podataka KSI modela, a zasniva se
na ifrovanju podataka izmeu krajnjih taaka. Meum, od 2001. godine hakeri
uspeno krekuju i modikuju WEP poruke na WLAN mreama na vie naina, zbog ra-
njivos RC4 algoritma, koji se moe probi i omogui pristup mrei. Standard zate
802.11 obezbeuje ifrovanje i autenkaciju. Prvi cilj zate 802.11 je otklanjanje de-
tektovanih slabos WEP protokola (Sl. 9.21).
Sl. 9.21. &unkcionalni model WEP protokola
178
KO FOJ
Autenkacija se vri potprotokolom ap4.0. Host raunar zahteva autenkaciju
od pristupne take (AP), koja alje 128 bitni SN zahtev (R). Host ifruje R primenom
simetrinog kljua, a AP deifruje R i autenkuje host. Dakle, ne postoji mehanizam
za distribuciju kljua, a za autenkaciju je dovoljno poznava simetrini klju. Za
ifrovanje podataka WEP protokolom, host/AP dele 40-bitni simetrini, polutrajni klju.
Zam host dodaje 24-bitni inicijalizujui vektor (IV) za kreiranje 64-bitnog kljua, koji se
koris za generisanje niza kljuevakiIV, a ovi se koriste za ifrovanje i-tog bajta - di, u
frejmu: ci = di XOR kiIV, u kojem se IV i ifrovani bajtovi - ci, alju zajedno.
Glavni bezbednosni propust WEP protokola je otvoreno i ponovljeno slanje 24bit-
nog IV (jedan po frejmu). Ponovljeno korienje IV, napada moe detektova i izazva
stanicu A da ifruje poznatu poruku d1 d2 d3 d4 . Napada vidi ifrat: ci = diXKRkiIV,
a kako poznaje cidi, moe izrauna kiIV. Napada zna sekvence kljueva za ifrovanje
k1IVk2IVk3IV i, ako se sledei put upotrebi pozna IV, moe uspeno da deifruje poru-
ku.
Napadai koji su pristupili WLAN mrei mogu veoma efekvno izves napade preko
DNS servera, prov svakog korisnika u mrei, jer mogu da vide DNS zahtev i lano od-
govore, pre nego sto DNS server sgne da odgovori na njega. Kzbiljan problem sa WLAN
nije samo WEP protokol, nego i pristup mrei (prijem signala). Mnoge poslovne mree
instaliraju AP bez ukljuene zate, da bi se besplatno korisle. Za veinu AP, konguri-
sanih bez ifrovanja, mogu se kongurisa KS, kao to su Windows XP SP2 i MAC KS X,
tako da se automatski prikljue na svaku dostupnu beinu mreu. Korisnik koji pokrene
laptop u blizini AP, moe da ustanovi da se raunar povezao na mreu bez ikakvog
vidljivog nagovetaja. Takoe, korisnik koji namerava da se povee na jednu mreu,
moe zavri u drugoj, ako ima jai signal. U kombinaciji sa automatskim nalaenjem
ureaja druge mree (npr. DHCP i Zeroconf), ovo bi moglo da navede beinog korisnika
da poalje osetljive idenkacione podatke pogrenom provajderu i uloguje na web
sajt kroz nesigurnu mreu. WLAN mree 802.11 u 85% sluajeva ne koriste mehanizme
ifrovanja i autenkacije pa su pretnje za WLAN brojne. Podlone su packetsni ng,
DoS i drugim vrstama napada. Na primer, mikrotalasna penica sa premoenim meha-
nizmom za zatvaranje vrata, kada radi sa otvorenim vrama, stvara smetnju od 1000 W
na istoj frekvenciji kao i ureaji standarda 802.11b.
Znaajnije bezbednosne pretnje WLAN su da maliciozni korisnici mogu:
dobi nedozvoljen pristup internoj mrei kroz beinu mreu,
presres osetljive ne-ifrovane informacije, koje se alju kroz WLAN,
ukras na mrei identet legimnog korisnika i zloupotrebi ga,
izvri DoS napad na beinu mreu ili ureaj,
kroz WLAN anonimno izves napad na druge mree i
postavi lanu AC i namami legimne korisnike na lanu AP.
Faktori rizika WLAN 802.11 se mogu svrsta u sedam osnovnih kategorija: ubaciva-
nje u tok saobraaja (Inseron Aacks), ometanje (Jamming), kriptoanaliki napad
179
BO FOO
(Encrypon Aacs), izvianje i intercepcija saobraaja (War Driving), kolaboravni rad
mobilnih ureaja (prenos malicioznog kda), rekonguracija sistema i napadi bruta-
lnom silom. Svaki od navedenih faktora rizika WLAN sistema mogu se redukova ili
izbei sa propisnim korienjem polike i najbolje prakse zate.
Mere zate od neovlatenog pristupa ukljuuju WEP zatni protokol i poskivanje
emitovanja SSID pristupne take, ime se doputa pristup samo raunarima sa poznam
MAC adresama. Poskivanje SSID i ltriranje MAC adresa su neekasne metode zate,
jer se SSID emituje otvoreno, kao odgovor na klijentski SSID upit, tako da MAC adresa
lako moe da se zloupotrebi. Ako napada moe da promeni svoju MAC adresu, moe
i da se spoji na mreu zloupotrebom ovlaenih adresa. WEP ifrovanje prua zatu
od povremenih upada, ali zbog ranjivos RC4 algoritma, neki dostupni ala, kao to su
AirSnort ili AirCrackptw, mogu otkri WEP ifrovane kljueve. AirSnort moe da otvori
ifru za manje od sekunde, jer vidi oko 510 miliona ifrovanih paketa. Noviji alat, Air-
Crackptw, koris Klajnov napad za razbijanje WEP kljua, sa uspehom od 50%, upotre-
bom samo 40.000 paketa.
WPA (WiFi Protected Access) sistem zaenog pristupa WLAN mrei je poboljan
protokol zate, dizajniran je da zameni manje bezbedan WEP protokol u 802.11i mrei.
Ukljuuje mogunost ifrovanja podataka i autenkacije korisnika. Podaci se ifruju
RC4 algoritmom sa 128bitnim kljuem i 48bitnim inicijalizacijskim vektorom. Pred-
nost nad WEP protokolom je u korienju TKIP protokola (Temporal Key Integrity Pro-
tocol), koji dinamiki menja kljueve u toku rada sistema. Kombinacijom dugakog IV i
TKIP protokola sistem postaje otporniji na napade, koji su rizini za WEP protokol, ali ve
ima poznat vektor napada.
WPA 2 (WiFi Protected Access 2), slian WPA protokolu, koris napredni AESCCMP
algoritam (Advanced Encrypon Standard Counter Mode with Cipher Block Chaining
Message Authencaon Code Protocol) i obezbeuje znatno vei nivo zate u 802.11i
mrei. Princip rada standarda 802.11i prikazan je na Sl. 9.22.
Sl. 9.22. Princip rada 802.11i u eri faze
180
KO FOJ
WPA 2 reava veinu ozbiljnih ranjivos WEP ifarskog sistema, obezbeuje distri-
buciju kljueva i koris autenkacioni server, nezavisno od AP [71]. WEPplus ima veu
ekasnost, onemoguavanjem korienja loe oblikovanih IV. Uporedne vrednos bez-
bednosnih funkcija glavnih protokola zate u WLAN sistemima date su u Tabeli 9.8.
Tabela 9.8. Uporedne vrednos funkcija protokola zate WLAN sistema
LEAP (Lightweight Extensible Authencaon Protocol) protokol za autenkaciju,
baziran na 802.1x standardu, dizajniran je da smanji ranjivost WEPa primenom so-
sciranog voenja sistema kljueva. LEAP ili Dynamic WEP dinamiki menja WEP
kljueve. Dinamiki generisani kljuevi i meusobna autenkacija izmeu klijenta i RA-
DIUS servera, omoguavaju da se klijen esto ponovo autenkuju, a tokom uspene
autenkacije dobijaju novi WEP klju. Stalnim generisanjem novih kljueva i kratkim
trajanjem svakog pojedinano, poveava se zata kljua od otkrivanja hakerskim napa-
dom. Ipak, dostupni ala pa THCLeapCracker-a omoguavaju probijanje LEAP zate
i napad renikom na klijenta.
PEAP (Protected Extensible Authencaon Protocol) protokol su razvili Cisco, Micro-
so i RSA Security. PEAP (ita se pip) nije kriptoloki protokol i slui samo za auten-
kaciju klijenta u mrei. Koris DS na serverskoj strani za autenkaciju klijenta,
kreiranjem SSL/TLS tunela izmeu klijenta i autenkacijskog servera i na taj nain
podatke, koji se prenose mreom.
RADIUS (Remote Authencaon Dial In User Service) servis predstavlja odlinu zatu
od napada hakera. Spada u AAA (Authencaon, Authorizaon & Accounng) protokole,
to znai da obezbeuje autenkaciju, autorizaciju i upravljanje korisnikim nalogom.
Ideja korienje servera unutar sistema, koji verikuje korisnike preko korisnikog imena
i korisniki izabrane lozinke. Pomou RADIUS servera korisnicima se mogu dodeljiva
razne dozvole i ogranienja, npr. za potrebe naplaivanja usluge korienja. Negavna
strana ovakvog sistema je u invesranju u server koji e obavlja RADIUS funkciju.
GSM Evropski sistemi mobilne telefonije ima brojne ranjivos SIM karce, SMS
servisa, GPRS servisa i WAP protokola [57].
Trea generacija (3G) tehnologije beinih sistema, usmerena na poboljanje komu-
nikacije podataka i glasa beinim putem, koriguje sve uoene bezbednosne ranjivos
181
BO FOO
navedenih standarda. Neposredni cilj je poveanje brzine prenosa na 2 Mb/s i frekvencije
prenosa na 5,1 GHz. Cilj je razvi skalabilan sistem, koji se moe nadogradi sa poboljanim
kontrolama zate, kada je potrebno. Idenkovani pove napada na WLAN mree, na
frekvencijama od 2 GHz i 2,5 GHz, u 3G WLAN mrei su eliminisani. Sistem zate 3G
WLAN zasniva se na za GSM standarda sa sledeim vanim izmenama:
onemoguen napad na baznu stanicu sa lanim predstavljanjem,
vea duina WEP kljua i doputa implementaciju jaeg algoritma (AES),
ukljueni mehanizmi zate unutar i izmeu WLAN mrea,
mehanizmi zate su u svierima i te vezu do bazne stanice,
integriu se mehanizmi za zatu integriteta i autenkaciju terminala,
dato je uputstvo za izbor drugog autenkacionog algoritma i
u roming vezi izmeu mrea, aplicirana je zata smart karcom.
Sistem zate 3G WLAN je znatno bolji od zate GSM, ali se mogui napadi ne
mogu potceni. Potencijalne slabos 3G WLAN mrea mogu bi logovanje na lanoj
baznoj stanici i forsiranje komunikacije bez kriptozate.
Na osnovu kriterijuma za vrednovanje kriptolokih algoritama, mogu se izvui sledei
zakljuci za praknu primenu kriptolokih mehanizama u za RM:
1. simetrini kriptografski algoritam sa tajnim kljuem treba koris za zatu informacija u
beinim i mobilnim mreama i na komunikacijama,
2. za generisanje i razmenu kljueva treba koris asimetrini algoritam,
3. za integrisane kriptoloke mehanizme najbolji metod je kombinovana simetrina i
asimetrina kriptograja,
4. asimetrinu kriptograju koris za idenkaciju i autenkaciju,
5. podatke od korisnika do bazne stanice simetrinim algoritmom,
6. mehanizam zate je bolje realizova u baznim stanicama, jer je lake odrava njihov
integritet, nego protokol pristupa m stanicama,
7. za svaku logiku vezu koja trai zatu podataka, treba generisa novi kriptografski klju,
8. kontrolne parametre treba prema zahtevima 4 i 5.
9.3. REZIME
Servis kontrole pristupa RMi vre mrene barijere, koje nameu poliku kontrole
pristupa izmeu dve ili vie segmenata RM i obezbeuju mrenu zatu po dubini. Pos-
toje dve znaajne klase barijera, koje rade na principu kontrole stanja veze i ltriranja
ruranih IP paketa, a mogu se implemenra na mrenom sloju sa ruranjem paketa i
aplikavnom sloju ili kao proksi barijere, koje ne ruraju direktno pakete. Proksi serveri
posreduju izmeu nepoverljive i poverljive RM i kontroliu konekcije koje dolaze iz RM.
182
KO FOJ
Najei su u praksi web proksi serveri.
Autenkacioni ureaji smart karca, biometrijski ureaj, token za bezbedno
skladitenje kriptografskih informacija ili token kao priruni ureaj, koriste se za auten-
kaciju. Za visoku bezbednost IKTS i zatu kriptografskih tajni, koriste se smart karce
na korisnikoj i HSM kriptografski moduli na serverskoj strani. Kriptografski akceleratori
kombinuju sigurno skladitenje kljueva, kriptograju visokih performansi i veu ska-
labilnost kriptografskih aplikacija.
U RM, podaci se prenose u otvorenoj formi preko TCP/IP protokola i mogu se lako
prislukiva. Za zatu pristupa koriste se autenkacioni protokoli pa SSL za zaen
prenos lozinke i Kerberos pa, koji rade na principu upita odgovora. Za centralizaciju
procesa autenkacije i autorizacije prava pristupa autenkovanih enteta u RM, ko-
riste se A&A serveri. RADIUS ili TACACS + protokoli uobiajeno se koriste za kontrolu
udaljenog pristupa.
Monitoring i integritet intraneta obezbeuju NIDPS, skeneri saobraaja i kapacite
za upravljanje incidentom i oporavak sistema. Zata integriteta u mrenom okruenju
zahteva zatu integriteta podataka i komunikacione sesije. NIDPS, u veini sluajeva,
rade na mrenom sloju, detektuju sisteme nezavisno od KS i omoguavaju zatu bro-
jnih plaormi. NIDPS i mreni skeneri rade na ism principima kao HIDPS i skeneri RS,
s m da otkrivaju ranjivos RM. Skeneri telefonskih veza, koriste se za idenkovanje
potencijalnih ranjivos sistema preko telefonske linije.
Kriptografski mehanizmi i protokoli zate izvravaju i integriu mrene servise
zate poverljivos, integriteta i neporecivost, digitalnog potpisa i jake autenkacije
kroz PKI sistem. Ksnovni moduli PKI sistema su CA, RA i Imenik. Postoje hijerarhijska,
reetkasta, hibridna i tranzivna organizaciona struktura arhitekture PKI sistema.
Zata poverljivos mrenih podataka vri se ifrovanjem asimetrinom PKI krip-
tograjom za razmenu simetrinog kljua i simetrinom za ifrovanje podataka na
prenosnom putu. Asimetrina PKI kriptograja otvoreno distribuira javni klju (Pk),
matemaki uparen sa jedinstvenim privatnim kljuem (Tk). PKI obezbeuje okvir za
protokole zate transakcija. Primeri su SSL, TLS i IPsec protokol, koji je najpoeljniji za
implementaciju VPN.
Beina lokalna mrea (WLAN) se lako implemenra i obezbeuje veliku utedu
komunikacione infrastrukture. Tehnologija WLAN je izgraena na bazi IEEE 802.11b
standarda u SAD i GSM standarda u EU. WEP (Wireless Equivalent Protocol) protokol
za zatu prenosa, dizajniran za zatu CIA informacija na prenosnom putu, pokazao je
brojne slabos RC4 algoritma. Poboljanu zatu obezbeuju WPA i WPA(2), WEPplus i
Dynamic WEP (tekui standard 802.11i).
Trea generacija tehnologije WLAN koriguje sve uoene bezbednosne ranjivos WEP
protokola i poboljava komunikaciju podataka i glasa beinim putem, koristei bilo koji
od raspoloivih standarda.
183
BO FOO
Autenkacioni protokoli: standardno su
ugraeni u sam proces razmene podataka; ko-
riste dodatne mere zate poverljivos, integ-
riteta i neporecivos.
Autenkacioni serveri: centralizuju procese
autenkacije u RM.
Autenkacioni ureaji: obezbeuju koris-
niku neki ziki idenkator za kompleranje
autenkacije (smart karcu, biometrijski
ureaj i token).
Autorizacioni serveri: pridruuju skup privi-
legija pristupa autenkovanim entema.
Biometrijski ureaji: verikuju identet koris-
nika na bazi jedinstvenih, zikih atributa (o-
sak prsta, dlana, mrenjae oka itd.).
Hardverskosoverski modul HSM (Hard-
ware Storage Module/H Soware M): koris
se na serverskoj strani za skladitenje krip-
tografskih tajni.
Infrastruktura sa javnim kljuemPKI (Public
Key Infrastructure): asimetrina kriptograja
sa parom javnog i privatnog kljua; glavni
moduli su CA, RA Imenik.
Kriptografski akceleratori: Specijalizovani
HSM, koji kombinuju bezbedno skladitenje
kljueva, kriptograju visokih performansi i
skalabilnost aplikacija.
Kriptografski protokoli: te podatke na
prenosnom putu, implemenraju i izvravaju
servisa zate autenkacije, poverljivos, in-
tegriteta i neporecivos.
Proksi server: slino gateway barijeri kontrolie
i posreduje veze koje dolaze izvan i iz RM.
Server mrenog pristupa NAS (Network Ac-
cess Server): doputa konekciju sa PSTN na
zahtevani interni host, nakon autenkacije i
primene neke restrikcije.
Skeneri telefonskih veza: idenkuju ranji-
vos sistema preko telefonske linije.
Skeneri zate RM: slini su skenerima zate
RS, s m da otkrivaju ranjivos RM.
Smart karce: autenkacioni ureaj sa
itaem; memorijske za skladitenje ili mik-
roprocesorske za skladitenje kljueva i krip-
tografske operacije na samoj karci.
Tokeni: autenkacioni ureaji za bezbedno
skladitenje kriptografskih informacija.
1. Metod sistema jake autenkacije za prist-
up administravnim nalozima RM je:
a. korisniki nalog i lozinka
b. kriptografska smart karca sa PINom
c. biometrijski ureaj ili token
2. Koji se bezbednosni kvalitet dobija up-
otrebom NIDS sistema:
a. detektuju upade nezavisno od KS i
omoguavaju zatu vie plaormi
b. vidi napade sa Interneta koji probijaju
odbranu spoljnog perimetra RM
c. ne isu probleme sa polikom ili funk-
cionisanjem mrene barijere
d. ne vidi napade na web ili FTP server, koji
su obino smeteni u DMZ
e. dokumentuje pove i broj napada koji
pou sa Interneta, a pogaaju RM
f. monitorie mreni saobraaj i poveava
mogunost detekcije napada
g. detektuje ovlaene akvnos legalnih
korisnika iz RM organizacije
184
KO FOJ
3. Neki problemi vezani za upotrebu NIDPS
sistema su:
a. ne mogu detektova anomalije bez pre-
poznavanja protokola
b. ne mogu interprera podatke
c. mogu igra vanu ulogu u upravljanju
malicioznim kodovima
d. ne mogu igra vanu ulogu u upravljan-
ju malicioznim kodovima
e. mogu bi kongurisani da spreavaju
prolaz inciranih objekata izvan intrane-
ta
4. Autenkacioni i autorizacioni serveri u
sistemu mrene zate:
a. koriste se za decentralizovano upravl-
janje procesom autenkacije u RM
b. obuhvataju skup privilegija ili prava
pristupa enteta korisnika
c. obavezni su u sistemima za kontrolu
pristupa sa udaljenih mrenih lokacija
d. obezbeuju servise za vie klijenata u
klijentserver arhitekturi
e. mogu dodeljiva uloge korisnicima
f. ne poveavaju znaajno bezbednost
pristupa udaljenih korisnika
g. ne te podatke koji se izmenjuju
izmeu korisnika i internog sistema
5. Kljuni moduli pinih skenera ranjivos
RM su:
a. modul za skeniranje,
b. baza podataka sa poznam ranjivosma
(denicijama mrenih napada)
c. modul za generisanje i prezentaciju
izvetaja
d. modul korisnikih interfejsa
e. modul za idenkaciju malicioznih pro-
grama
6. Glavni alat za kontrolu pristupa RM je:
a. korisniki nalog i lozinka
b. logika barijera (rewall)
c. NIDPS,
d. web lteri i proksi serveri
7. Proksi serveri su:
a. namenjeni uglavnom za kontrolu
konekcija koje dolaze iz interne RM
b. namenjeni uglavnom za kontrolu
konekcija koje dolaze sa Interneta
c. ne zahtevaju autenkaciju krajnjeg ko-
risnika
d. ograniavaju doputene komunikacije
na denisani skup protokola
e. primenjuju restrikciju kontrola pristupa i
loguju kontrolne tragove
f. najei p u praksi su web proksi
serveri, koji se koriste samo za zatu
g. viefunkcionalni ala koji ne implemen-
raju znaajnu zatu
8. Servis zata integriteta u mrenom
okruenju obuhvata:
a. integritet podataka
b. integritet sesije komunikacije
c. integritet sinhronizacije protokola
D. ni jedan gore naveden
9. Glavni nedostatak PKI sistema je:
a. poverenje korisnika u povezanost javnog
kljua i nominalnog vlasnika
b. poverenje u digitalni serkat, koji izda-
je CA
c. ne garantuje povezanost javnog kljua
(Pk) sa imenom vlasnika na poverljiv i
bezbedan nain
d. ni jedan gore naveden
10. Ksnovni standard za beine mree WLAN
(IEEE 802.11b) ima implemenran:
a. WEP (Wireless Equivalent Protocol) pro-
tokol za zatu
b. WAP (Wireless Applicaon Protocol)
protokol
c. WAP (2)
d. ICMP protokol
11. Vieslojna anvirusna zata vri se:
a. za proveru autennos, zatu integ-
riteta i neporecivos
b. za generisanje digitalnog potpisa i bez-
bedno uvanje kriptografskih tajni
c. za oteavanje primene metoda krip-
toanalize
d. na kapiji, ruteru, serveru mree i radnim
stanicama
12. Izolacija RM vri se:
a. obezbeivanjem jednoznanih iden-
kacionih parametara
b. radi zate od DoS/DDoS napada
185
BO FOO
c. sa mrenim kapijama za ltriranje pak-
eta
d. radi spreavanja unoenja akvnih mali-
cioznih programa
13. Kriptoloki mehanizmi zate u RM koriste
se za:
a. proveru autennos, zatu integrite-
ta, poverljivos i neporecivos
b. generisanje digitalnog potpisa i bezbed-
no uvanje kriptografskih parametara
c. za oteavanje primene metoda krip-
toanalize
d. za zatu tajnos podataka i lozinki
14. Tehnologija digitalnog potpisa se koris za:
a. proveru autennos, zatu integriteta
i neporecivos
no uvanje kriptografskih parametara
c. oteavanje primene metoda kriptoana-
lize
d. bezbednu autenkaciju strana u ko-
munikaciji
15. Za zatu poverljivos informacija u RM ko-
riste se dve osnovne tehnika:
a. obezbeivanje jednoznanih idenka-
tora i razmena sesijskog kljua
b. upotreba protokola za uspostavljanje
kljua i generisanje simetrinog kljua
c. generisanje simetrinog kljua, ifrovanje
sa javnim kljuem (Pk) udaljenog koris-
nika i transfer sa asimetrinim PKI sist-
emom
d. bezbedna autenkaciju strana u komu-
nikaciji i razmena simetrinog kljua
16. Digitalni serkat se koris za:
i neporecivos
no uvanje kriptografskih tajni
c. spreavanje primene metoda kriptoana-
lize
d. vieslojnu zatu na kapiji, ruteru,
serveru mree i radnim stanicama
17. Smart karca se koris za:
i neporecivos
no uvanje kriptografskih tajni
c. za oteavanje primene metoda kripto-
analize
d. zatu na kapiji, ruteru, serveru mree i
radnim stanicama
18. Kriterijumi za izbor biometrijskih parame-
tara mogu bi:
a. performanse, pouzdanost i pogodnost
za primenu
b. kompleksnost sistema zate i trokovi
nabavke
c. sposobnos korisnika i korisnika prih-
vatljivost
d. trokovi obuke korisnika
19. Kgranienja PKI za veliki broj korisnika pre-
vazilazi:
a. AutoGuard ureaj i SNTP protokol (US
patent)
b. ProGurad ureaj i MEDI:A protokol (US
patent)
c. AutoGuard ureaj i MEDIA protokol (US
patent)
d. AutoGuard ureaj i MSNG protokol (US
patent)
20. Za ifrovanje VPN veze najee se koris:
a. SSL protokol
b. HTTPS protokol
c. IPSec protokol
d. TTPS protokol
186
KO FOJ
9.6. LITERATURA
[1] American Bar Associaon, Secon of Sci-
ence &Technology Law, Privacy & Com-
puter Crime Commiee, Internaonal
Strategy for Cyberspace Security, www.
abanet.org/abapubs/books/cybercrime/,
2003.
[2] Bace, R., Mell, P., Intrusion Detecon
Systems, NIST SP 80031, hp://www.
csrc.nist.gov/publicaons, 2006.
[3] Barker, W. C., Guide for Mapping Types of
Informaon and Informaon Systems to
Security Categories, NIST SP80060 1 i
2, hp://www.csrc.nist.gov/publicaons,
juni 2004.
[4] Bjork, &redrik, Security Scandinavian
StyleInterpreng the pracce of manag-
ing informaon security in organisaons,
Stockholm University, Rozal Instute of
Technology, 2001.
[5] Bruce, S., Applied Cryptography: Pro-
tocols Algorithms and Source Code in
Cryptography, 2nd edion, New York,
:ohn Wiley and Sons, 1996.
[6] BSI (&ederalni IS Nemake), IT Baseline
Protecon Manual, hp://www.bsi.
bund. de/gshb, juli 2005.
[7] Burns, :. Evoluon of WLAN Security,
hp://www.mtghouse.com/MDC_ Evolv-
ing_Standards.pdf, 2004.
[8] Cambra, R., Metrics for Operaonal
Security Control, Sans Instute, 2004
[9] Carrel, D., i Grant, L., The TACAS+
Protocol, hp://casl.csa.iisc.ernet.in/
Standards/ internetdras/dragrant
tacas02.txt, 2003.
[10] Carrol, M.:., Computer Security, Buer-
worthHeinemann, 1997.
[11] Castell, B. S., Gray G., Muller P., User
Requirements for Trusted Third Party Ser-
vices, IN&KSEC Project Report S2101/01,
Commission of the European Communi-
es, DG XIII, B6, Kct 1993.
[12] CCIMB99031, Common Criteria for
Informaon Technology Security Evalu-
aon, Part 1: Introducon and general
model, Version 2.1, hp://www.com-
moncriteria. org, 1999.
[13] CERT, hp://www.cert.org/advisories,
2003.
[14] Christopher, W.K.s, Wireless LAN Security
FAQ, hp://www.iss.net/ wireless/
WLAN_&AQ.php, 2003.
[15] Chew, E., Swanson, M., Sne, K., Bartol,
N., Brown, A., i Grao, L., Performance
Measurement Guide for Informaon Se-
curity, NIST Special Publicaon SP800
55rev1, :uly 2008. hp://csrc.nist.gov/
publicaons/PubsSPs.html
[16] CKAST (Computer Operaons, Audit,
and Security Technology), Pardu univer-
zitet, SAD, hp://www.cs.purdue.edu/
coast/#archive, 2003.
[17] CKBIT (Control Objecves for Informa-
on and Related Technologies), hp://
www.isaca.org, 2009.
[18] CRAMM, hp://www.crammusergroup.
org.uk, 2008.
[19] Curn, M., Ranum, M.:., Internet Fire-
walls: FAQ, hp://www.interhack.net/
pubs/fwfaq., 2003.
[20] Debra, S. Herrmann, Complete guide to
security and privacy metrics: Measuring
Regulatory Compliance, Operaonal Re-
silience and ROI, Auerbach Publicaons
Taylor & &rancis Group, LLC, 2007.
[21] Domarev, V.,

, hp://www.security.ukrnet.
net/, 1997.
[22] Drake, D. L. i Morse K. L., The Security
Specic Eight Stage Risk Assessment
Methodology, Proceedings of the 17th
NCSC, Balmore, Kctober 1994.
[23] ElcomSo, istraivanje, 2009.
[24] &errari, :. i dr., Smart Cards: A Case Study,
hp://www.redbooks.ibm.com/ red-
books/pdfs/sg245239.pdf, avgust 2003.
[25] &IPS Publicaon 200, Minimum Security
Requirements for Federal Informaon
and Informaon Systems, hp://www.itl.
nist.gov/l/pspubs, juni 2005.
[26] &rankel, S., An Introducon to IPsec,
hp://www.csrc.nist.gov/ buliten, 2001.
[27] GAISP, Generally Accepted Informaon
Security Principles, hp://www.gaisp.
org, 2009.
187
BO FOO
[29] Gerencser M., Aguirre, D., Security
Concerns Prominent on CEO Agenda,
Strategy+Business Press, hp://www.
strategybusiness.com/press/ enewsar-
cle/22197, 2002.
[30] Kovacich, G. L., i Halibozek, E. P., Security
metrics management: how to measure
the costs and benets of security, 2006.
[31] Grance, T., Hash, :., Stevens, M., KNeal,
K., Bartol, N., Guide to Informaon Tech-
nology Security Services, NIST SP 80035,
hp://csrc.nist.gov/publicaons/ nist-
pubs/80035/sp80035.pdf, 2003.
[32] Grance, T., Hash :., Stevens M., Security
Consideraons in the Informaon System
Development Life Cycle, NIST SP 80064,
hp://csrc.nist.gov/publicaons/ nist-
pubs/80064/sp80064.pdf, juni 2004.
[33] Grance, T., Kent K., Kim B., Computer
Security Incident Handling Guide, NIST
SP 80061, hp://www.nist.gov/publica-
ons, :anuary 2004.
[34] Grubor, Gojko, Katalog kontrola sistema
osnovne zate za nizak ucaj pretnji,
skripta, Univerzitet SINGIDUNUM, &PI,
maj 2006.
[35] Grubor, Gojko, Razvoj i upravljanje pro-
gramom zate zasnovanim na modelu
sazrevanja procesa, doktorska disert-
acija, Univerzitet Singidunum, 2007.
[36] Harold, &. T., Micki K., The informaon
security handbook, hp://csrc.nist.gov/
policies/ombencryponguidance.pdf,
2003.
[37] Heyer, :., WLAN Security: Wide Open, hp://
www.tomsnetworking.com/network/
20020719/index.html, 2004.
[38] Housley, R. i dr., Internet X509 Public Key
Infrastructure: Cercate and CRLProle
(RFC 2459), hp://www.ie.org/rfc/
rfc2459.txt., 2007.
[39] Howard, D. :., An analizis of Security
Incedent 1989/1995, Doctors Thesis,
Carnegie Mellon University. 1997.
[40] IET&, Policy Framework, hp://www.ie.
org, 2005.
[41] Informaon Security &orum (IS&), Infor-
maon Security Metrics Report, May
2006, hp://www.securityforum.org/
[42] IBM, Provena Desktop Endpoint Secu-
rity, hp://www.ibm.com/services/iss,
2010.
[43] ISACA, Informaon Systems Audit and
Control Associaon, hp://www.isaca.
org, 2003.
[44] IS&, The Standard for Good Pracce for
Informaon Security, hp://www.isf.org,
V.4.0., 2007.
[45] ISK/IEC 13335, Gudelines for the man-
agement of IT Security, hp://www.
iso.13335.org, 2003.
[46] ISK/IEC 15408, Common Criteria/ITSEC,
hp://www.iso.15408.org, 2003.
[47] ISK/IEC15443, Informaon Technology
Security Techniques, hp://www.iso.
15443.org, 2000.
[48] ISK/IEC 15504 (CMM), hp://www.
iso.15504.org, 2008.
[49] ISK/IEC 17799:2000, Informaon Tech-
nology Code of pracce for informaon
security management, hp://www.iso.
org, 2003.
[50] ISK/IEC 21827 (SSE CMM), System
Security Engeneering Capability Maturity
Model, hp://www.iso.21827.org., 2003.
[51] ISK/IEC 27001, Informaon Security
Management System, hp://www.
iso.27001.org, 2008.
[52] ISK/IEC 27005, hp://www. iso.27005.
org, 2008.
[53] ISK/IEC 27004, Informaon technology
Security techniques Informaon
security management Measurement
(dra). hp://www.iso.org/iso/
[54] ISS, Dynamic Threat Protecon: A
New Denion for Informaon Security,
hp://www.iss.org, 2005.
[55] ITUT, Informaon Technology Open
system Interconnecon The direc-
tory: Public key and aribute cercate
frameworks, Recommendaon X.509,
2007.
[56] ITUT, Informaon Technology Open
system Interconnecon The directory:
overview of concepts, models and ser-
vices, Recommendaon X.500, 2007.
[57] :aquith, A., Security Metrics: Replacing
188
KO FOJ
Fear, Uncertainty, and Doubt, Pearson
Educaon, Inc., hp://www.securitymet-
rics.org/content/Wiki.jsp, March 2007.
[58] Karygiannis, T., Kwens, L., Wireless
Network Security 802.11, Bluetooth
and Handheld Devices, NIST SP 80048,
hp://www.csrc.nist.gov/publicaons,
2008.
[59] Kelm, S., The PKI page, hp://www.pki
page.org, 2008.
[60] Lee, A., Brewer, T., Informaon secu-
rity within the system development life
cycle, :ones Computer Security Division
Informaon Technology Laboratory NIST,
hp://www.itl.nist.gov/, 2006.
[61] Manzuik S., Pfeil K., Network Security
Assessmentfrom vunerability to patch,
Syngress, 2007
[62] Milosavljevi, Milan, Grubor Gojko, Os-
novi bezbednos i zate informacionih
sistema, Univerzitet Singidunum, 2006.
[63] NIST NSA Informal Note, A Survey of
Access Control Methods, 2009.
[64] NIST SP 80012, An introducon to com-
puter Security, hp://csrc.nist.gov/ publi-
caons/nistpubs/80012/sp80012.pdf,
avgust 2003.
[65] NIST SP 80014, Genaerally Accepted
Principles and Pracces for Security,
hp://csrc.nist.gov/publicaons/nist-
pubs/80014/sp80014.pdf, 2002.
[66] NIST SP 80018, Guide for developing
Security Plans for IT Systems, hp://csrc.
nist. gov/publicaons/nistpubs/80018/
sp80018.pdf, 2003.
[67] NIST, Trusted Security Evaluaon Criteria,
hp://www.radium.ncsc.mil/tpep, 1999.
[68] NIST SP 8001402, Security Require-
ments for Cryptographic Modules, 25.05
2001., hp://csrc.nist.gov/publicaons/
ps/ps1402/ps1402.pdf.
[69] OCTAVE methods and criteria, hp://
www.cert.org/octave, 2005.
[70] OCTAVEmethod Implementaon Guide,
hp://www.cert.org/octave/osig.html,
2005.
[71] Kpacki, D.,CISSP, Security Metrics: Build-
ing Business Unit Scorecards, dopacki@
covesc.com, December 2005.
[72] Ku G., Understanding the updated WAP
and WAP2 standards, hp://blogs.zdnet.
com/Ku/?p=67, 2002
[73] Kzier, W., Risk Analysis and Assessment,
Handbook of Informaton Security Man-
agement, CRC Press, Boca Raton, &lorida,
1999.
[74] Parda, A., Andina, D., IT Security
Management: IT Securiteers Se ng
up an IT Security Funcon, Springer
Science+Business Media, www.springer.
com/ series/ 7818, 2010.
[75] Purser, S., A praccal guide to manag-
ing informaon security, Artech House,
Boston, London, 2005.
[76] Republika Srbija, Predlog krivinog
zakona, Glava 27. Krivina dela prov
bezbednos raunarskih podataka, lan
298304, 2004.
[77] Republika Srbija, Zakon o borbi prov
visoko tehnolokog (kompjuterskog)
kriminala, Beograd, 2005.
[78] Republika Srbija, Zakon o elektronskom
potpisu, revizija, Beograd, 2008.
[79] R&C 1320 i R&C 1321, hp://www.icann.
rfceditorc.org, 1997.
[80] R&C 2196, Site Security Handbook,
hp://www.ie.org/rfc/rfc2196.txt, 1997
[81] Rigney, C., i dr., Remote Authencaon
Dial In User Service (RADIUS), R&C2138,
hp://www.faqs.org/rfc/rfc2138.html,
2003.
[82] Rodi, Boko, orevi, Goran, Da li ste
sigurni da ste bezbedni, Produkvnost
AD, Beograd, 2004.
[83] Ross, R., Swanson, M., &all, Guide for the
Security Cercaon and Accreditaon
of Federal Informaon Systems, NIST
SP 80037, hp://www.csrc.nist.gov/
publicaons, 2004.
[84] Ross, R., Katzke, S., Recommended
Security Controles for Federal IS, NIST SP
800 53, A, B, C, hp://www.csrc.nist.
gov/publicaons, 2009.
189
BO FOO
[85] Russel, D., Gangemi, G.T. sr, Computer
Security Basics, KReilly and Ass., 1995.
[86] Ruth, A., Hudson, K., Sercat Security +,
MicrosoCo., CET Beograd, 2004.
[87] SEI Instut, CMMI, www.sei.com. 2007.
[88] Scarfone, K., Mell, P., Guide to Intrusion
Detecon and Prevenon Systems (IDPS),
NIST SP 94, hp://csrc.nist.gov/publi-
caons, 2007.
[89] Shirley, C. Payne, A Guide to Security
Metrics, SANS Instute, InfoSec Reading
Room, :une 19, 2006. hp://www.sans.
org/reading_room/whitepapers/audit-
ing/
[90] Snyder, :., IDS and IPS, Informaon Secu-
rity magazine, maj 2009.
[91] Spears, :., Barton, R., Hery, W., An Analy-
sis of How ISO 17799 and SSECMM
Relate to the Svector Methodology,
hp://www.ebrc.psu.edu, August 2004.
[92] Stoneburner, G., & all, Risk Manage-
ment Guide for Informaon Technology
Systems, SP 80030, hp://csrc.nist.gov/
publicaons, 2002.
[93] Stoneburner, G., Underlying Techni-
cal Models for Informaon Technology
Security, NIST SP 80033, hp://csrc.nist.
gov/publicaons/nistpubs/80033/sp
80033.pdf, decembar 2006.
[94] Stremus, P., ISS IDC Security, IDC simpozi-
jum, pstremus@iss.net, Beograd 2006.
[95] Stallings W., Network Security Essenals_
Applicaons and Standards, 3rd Edion,
Prence Hall, USA, 2007.
[96] Swanson, M., Bartol, N., Sabato, :., Hash,
:., i Grao, L.., Security Metrics Guide for
Informaon Technology Systems, NIST
Special Publicaon 80055, :uly 2009.
[97] The Help Net Security News, McAfee
report, 12.08.2010.
[98] Vaughn, R. B., :r, A praccal approach
to su cient INFOSEC, Mississippi State
University, Department of Computer Sci-
ence, vaughn@cs.msstate.edu, 2002.
INTERNET IZVKRI:
hp://www.isecom.org/projects/osstmm.htm,
hp://www.atstake.com, 2006.
hp://www.cert.org/incident_notes/index.
html.
hp://www.cert.org/tech_ps/security_tools.
html#D.
www.sophos.com/presso ce/news/ar-
cles/2008/03/leeshinja.html (Poseeno:
20.04.2009.).
hp://www.helpnet.securitynews.com, Panda
lab izvetaj 2009. (Poseeno: 10.06.2010.).
hp://www.helpnet.securitynews.com,
McAfee, Symantec godinji izvetaj za 2008,
(Poseeno: 20.04.2010.).
hp://cyberinsecure.com/computerworm
infectsinternaonalspacestaonlaptops/
(Poseeno: 20.04.2009.).
hp://www.crn.com/security/56700144
(Poseeno: 20.04.2009.).
hp://www.itl.nist.gov/pspubs/p1801.
htm.
hp://www.physorg.com/news150486206.
html Cybergeddon fear stalks US: FBI,
(Poseeno: 20.04.2009.)
hp://www.helpnet.securitynews.com,
(Poseeno: 20.04.2009.).
hp://www.kaspersky.com, (Poseeno:
20.04.2009.)
hp://www.computereconomics.com/arcle.
cfm?id=1225 (Poseeno: 20.04.2009)
hp://vil.nai.com/vil/content/v_100119.htm
(Poseeno: 20.04.2009.)
hp://www.reghardware.co.uk/2008/10/08/
asus_eee_box_virus/ (Poseeno: 20.04.2009).
hp://www.symantec.com/, Symantec Inter-
net Security Threat Report, 2008.
hp://www.sophos.com, Security threat re-
port: 2009, (Poseeno: 20.04.2010).
Glava II
UPRAVLJANJE SISTEMOM
ZATITE INFORMACIJA
193
UJJ O FOJ
1.
UPRAVLJANJE ZATITOM INFORMACIJA
1.1. UVOD
Sa porastom obima e-poslovanja i integracije sistema, rastu i znaaj upravljanja
zatom, krinost procesa zate i legalna odgovornost menadera za zatu. Proces
upravljanja zatom obuhvata proceduralne i tehnike kontrole zate u kojima je ovek
faktor odluivanja. Sistem upravljanja zatom informacija ISMS (Informaon Secu-
rity Managament Systemt) je denisan standardom ISK/IEC 27001. Ksnovni upravljaki
mehanizam ISMS je polika zate. Klase upravljakih kontrola zate opisane su u stan-
dardima najbolje prakse zate (ISK/IEC 27001: Anex A; NIST SP 80053 A, B, C rev.). U
procesima ISMS od posebnog znaaja je odreivanje uloga i odgovornos za izvravanje
i kontrolu procesa zate.
Da je upravljanje zatom informacija sunski idenno upravljanju rizikom u IKTS,
prilino je oigledno i intuivno prihvatljivo, ali nije sasvim tano. Naime, razvijene su
brojne metode za upravljanje rizikom, dok se komparavno slabija panja posveuje
upravljanju procesima zate u IKTS. Posledica je, da menaderi, i proseni korisnici vide
zatu kao teku i komplikovanu oblast, sa nerazumljivom terminologijom. Upravljanje
zatom RS/RM obezbeeno je procedurama zate, ugraenim u runske raunarske i
mrene operacije za odravanje CIA informacija i servisa. Tehnike upravljanja sistemom
zate su brojne i obuhvataju sve kategorije upravljanja: manuelnog, poluautomatskog
i automatskog. U oblas upravljanja zatom, brojni su otvoreni problemi i oekuje se
dalji razvoj.
194
KO FOJ
1.2. METODOLOKI OKVIR ZA UPRAVLJANJE ZATITOM
1.2.1. Principi upravljanja zatitom
Kpte prihvaeni principi zate (GAISP) ine bazu razvoja procesa za upravljanje
zatom. Kako je proces za upravljanje rizikom najblia aproksimacija procesa za up-
ravljanje zatom, mogu se koris i generiki principi za upravljanje rizikom, koji se
implemenraju sa ukupno 16 osnovnih akvnos (Tabela 1.1).
Tabela 1.1. Glavni principi upravljanja rizikom
Principi UR Osnovne akvnos
Procena rizika
i odreivanje
potreba
Idenkovanje vrednos informacione imovine
Razvoj procedure za procenu rizika za poslovne procese
Kdreivanje odgovornos
Neprekidno upravljanje rizikom
Uspostavljanje
organizacije za
centralno upravl-
janje rizikom
Kdreivanje radnog ma za upravljanje zatom
Kbezbeivanje brzog pristupa ma glavnim izvriocima odluka
Kbezbeivanje potrebnog osoblja i drugih resursa
Unapreivanje tehnike obuke i profesionalnos ma
Implementacija
polike i rent-
abilnih kontrola
zate
Povezivanje polike zate sa faktorima rizika
Denisanje razlika izmeu polike i smernica (guidelines)
Podravanje polike kroz rad ma za upravljanje rizikom
Razvoj sves i
obuka o za
Neprekidna obuka korisnika o ucaju rizika i polike zate
Upotreba tehnika zate prikladnih za korisnike
Nadzor, kontrola
i revizija efek-
vnos sistema
zate i evalu-
acija usklaenos
polike i prakse
zate
Nadzor, kontrola i revizija faktora smanjenja rizika i indikacije efek-
vnos sistema zate
Korienje rezultata evaluacije za usmeravanje akvnos i uspostavl-
janje odgovornos menadmenta
Kdravanje spremnos za uvoenje novih tehnika i alata za nadzor,
kontrolu i reviziju sistema zate
1.2.2. Uloge i odgovornosti
U organizaciji procesa za upravljanje zatom, uloge i odgovornos se deniu i
dodeljuju svim uesnicima u za, od glavnog menadera do zaposlenih [1]. Za ISMS se
imenuje menader za upravljanje informacijama CIO (Corporate Informaon O cer),
195
UJJ O FOJ
ali je u velikim organizacijama trend da se ovom poslu posve puno radno vreme, kao
to je menader za sistem zate informacija CISSO (Corporate Informaon System
Security O cer), koji je odgovoran za zatu informacija u celoj organizaciji. Tendencija
je podizanja odgovornos za upravljanje zatom na vii nivo, u vidu profesionalnog
menadera za bezbednost informacija CIAO (Corporate Informaon Assurance O -
cer), ovlaenog i za serkaciju sistema zate [18].
Najznaajniji resurs za upravljanje zatom, na raspolaganju svakom menaderu
zate, svakako je m dobro obuenih specijalista zate (CIRT), sa razliim i specinim
znanjima, venama i iskustvima, relevantnim za lokalnu sredinu. Najbolja praksa zate
zahteva da svaki lan ma neprekidno usavrava znanja i vene, u skladu sa zahte-
vima organizacije i linim potrebama. U ovoj oblas apsolutno je potrebno proakvno
delovanje, poto je veoma teko denisa i izvri strateki plan zate, ako su este
promene zaposlenih u IKTS i CIRT. Samo jedinstven i dobro obuen m garantuje pos-
zanje stratekih bezbednosnih ciljeva. Pri tome je vano pravi razliku izmeu znanja
i vena, raspoloivih na tritu i specinih vena i iskustava potrebnih za datu or-
ganizaciju i okruenje. Prvi p se odnosi na optu praksu zate, poznavanje principa,
metodologija, koncepata, modela, tehnologija i alata zate, a su se, uglavnom, u
obrazovnom sistemu i na brojnim kursevima zate (CISSP Cered Informaon Sys-
tem Security Professionals, SANS i dr.). Drugi p znanja i vena poseduje mali broj
ljudi i najee su nedokumentovana i nedostupna irem krugu profesionalaca u za.
Kbe kategorije znanja i vena u za podjednako su znaajne, s m da je specino
obuene i iskusne specijaliste zate tee pronai, zaposli i zadra.
1.2.3. Generiki proces upravljanja zatitom inormacija
Generiki proces upravljanja zatom informacija (IKTS) je cikliki ponovljiv i sadri
brojne potprocese, od kojih su glavni: upravljanje rizikom, upravljanje promenama
i upravljanje konguracijom. Proces upravljanje rizikom i njegovi potprocesi analize i
procene rizika su sunski procesi upravljanja reakvnim sistemom zate. Upravljanje
promenama je proces koji pomae da se idenkuju bezbednosni zahtevi kada se do-
gode promene u IKTS i okruenju. Upravljanje konguracijom je proces koji odrava trag
promena u IKTS, a moe se izvri formalno i neformalno. Primarni cilj je da obezbedi
da promene u sistemu ne smanjuju efekvnost sistema zate i ukupne bezbednos
organizacije.
Generiki proces upravljanja zatom informacija dobro je denisan klasom
upravljakih kontrola zate u standardima ISK/IEC 27001: Anex A i NIST SP 80053
A, B, C rev., koja obuhvata sledee familije kontrola zate: upravljanje programom,
bezbednosnu procenu i autorizaciju, planiranje sistema zate, analizu i procenu rizika,
akviziciju sistema i servisa zate. U IKTS gde ne postoje implemenran ISMS, moraju
se ukljui najmanje sledee upravljake kontrole: razvoj polike zate, obuka i razvoj
196
KO FOJ
sves o potrebi zate, upravljanje korisnikim nalozima, izvetavanje o incidenma i
denisanje odgovornos i saradnje u oblas zate [21].
Generalno, mogua su dva struktuirana pristupa upravljanju zatom informacija.
Prvi obuhvata upravljanje odreenim brojem infrastrukturnih servisa, koji obezbeuju
normalan rad sistema zate. Ksnovni nedostatak je to kompleksnost savremenih IKTS
dovodi do postepene degradacije efekvnos servisa IKTS i sistema zate, ako procesi
upravljanja zatom i IKTS nisu dobro organizovani i sinhronizovani. Drugi pristup, pogo-
dan za manje organizacije, je integrisano upravljanje sa IKTS i sistemom zate, gde me-
hanizmi zate obezbeuju visoku raspoloivost IKTS servisa, a integrisano upravljanje
usklaeno funkcionisanje pod kontrolom administratora sistema.
Generiki proces ISMS u osnovi sadri eri koraka: idenkovanje pretnji, procena
rizika, uspostavljanje polike zate i implementacija kontrola zate za ublaavanje
rizika (Sl. 1.1a). Druga opcija, za razvoj sistema za upravljanje zatom na stratekom
nivou, na bazi konzistentne primene polike zate, je korienje standardnog sistema
idenkatora zate informacija ISBS (Informaon Security Benchmark System), koji
predstavlja preporueni nivo izvravanja polike zate u normalnom okruenju i ga-
rantuje implementaciju dobrog sistema zate. Takoe, ISBS usaglaenost garantuje da
je organizacija imala dobru procenu rizika i da je implemenrala adekvatne kontrole
zate za ublaavanje rizika (Sl. 1.1b) [5].
Sl. 1.1. Generiki proces ISMS (a) i usaglaenos sa BS (b)
197
UJJ O FOJ
Struktuirani integrisani proces upravljanja zatom informacija, prema standardu
ITU X.700, obuhvata pet funkcionalnih oblas upravljanja IKTS [10]: (1) upravljanje kon-
guracijom, (2) upravljanje otkazima, (3) upravljanje funkcionisanjem, (4) upravljanje
zatom i (5) upravljanje kontrolnim informacijama.
U OOM upravljanja uvodi se pojmovi objekta upravljanja, atribu objekta, doputene
operacije, izvetavanje i veza sa drugim objekma upravljanja. U skladu sa preporu-
kama (ITU X701), podsistem upravljanja sa distribuiranim IKTS uspostavlja se prema
klijent-server modelu. Klijent je agent upravljanja koji vri akvnos i dostavlja izvetaje
o izmenama u procesu upravljanja. Server je menader koji daje agentu naredbe za up-
ravljanje i prima izvetaje. Generiki proces KKM upravljanja IKTS i sistemom zate
informacija, obuhvata sledee oblas upravljanja:
informacionu: atribu, operacije i izvetaji o objekma upravljanja,
funkcionalnu: upravljanje akvnosma i neophodnim informacijama,
komunikacionu: komunikacioni aspek upravljanja i obim informacija i
organizacionu: dekompozicija na oblas upravljanja.
Kljunu ulogu u ovom modelu upravljanja igra OOM upravljakih informacija (ITU
X720) koji podrava inkapsulciju i nasleivanje. Dodatno se uvodi pojam paketa kao
skup atributa, operacija, izvetaja i odgovarajueg ponaanja [10].
1.2.4. Sistem upravljanja zatitom inormacija
Sistem upravljanja zatom informacija ISMS je fokusiran na 12 komponen
zate i primenljiv na brojne industrijske oblas, ukljuujui nansije, zdravstvo, vladu
i komercijalni sektor. Iako se ISMS iroko primenjuje, esto nije jedini standard, koji or-
ganizacije primenjuju. Na primer, kompanije ga mogu koris za platne kreditne ka-
rce, ali kako procesiraju, skladite ili prenose podatke sa platne karce, mogu koris
i implemenra industrijski fokusiran PCIDSS (Payment Card Industry Data Security
Standard) ili BITS (Shared Assessment Program), SAD fondacija za nansijske servise,
kao deo upravljakog okvira [4, 5].
Standard ISMS, implemenran u skladu sa GAISP principima, predstavlja skup poli-
ka, procedura i uputstava za upravljanje zatom informacija ili upravljaki okvir na bazi
polike zate. ISMS je kompleksan sistem koji predstavlja sinergiju tehnikih i proce-
duralnih kontrola zate. Implementacija ISMS podrazumeva i uspostavljanje razliih
tela u organizaciji (npr. CIRT, forum, m ili odeljenje za zatu informacija) odgovornih
za upravljanje procesima zate.
Kljuni koncept uvoenja ISMS je dizajn, implementacija i dosledno sprovoenje
procesa za ekasno upravljanje zatom CIA informacija i ublaavanja rizika na prih-
vatljiv novo. ISMS ureuje ponaanje zaposlenih, procese i tehnologije u za. Svaka
organizacija uspostavlja svoj jedinstveni ISMS, koji e na opmalan nain funkcionisa
198
KO FOJ
i obezbedi realizaciju poslovnih ciljeva. ISMS postavlja razliita pravila, u zavisnos od
vrednos informacione imovine i kulture rada. &leksibilan je i moe se ekasno imple-
menra u organizacijama razliih veliina, sa razliim potrebama i informacijama.
Iako je fokusiran na upravljanje zatom informacija, nezavisno od pa i formata infor-
macija, ISMS podlee svim zakonima drave i na taj nain posredno obuhvata sve oblas
zate informacione imovine.
1.2.4.1. Uspostavljanje ISMS
Prvi korak u uspostavljanju ISMSa je odreivanje obima i konteksta u organizaciji,
pri emu nije uvek neophodno integrisa ISMS u sve segmente poslovanja. Mogue je u
jednom projektu uspostavi ISMS samo za odreeni deo organizacije, to znatno sma-
njuje resurse. Za kontekst ISMSa minimimalno se moraju uze karakteriske i nain
organizacije poslovanja, kako bi se obuhvali svi neophodni procesi i delovi organizaci-
je. Saoptenje o obimu ISMS moe izgleda kao: ISMS pokriva sve poslovne procese i
resurse povezane sa IKTS i servisima koji se koriste za pruanje usluga u (naziv i lokacija
organizacije). Pod m se podrazumeva i funkcionisanje komunikacije do radne stanice
klijenta. Kvo je u saglasnos sa saoptenjem iz Izjave o primenljivos (SKA), obaveznog
dokumenta za serkaciju ISMSa, gde se jasno vidi obim uspostavljanja ISMSa. SKA
obino nije javni dokument, da se organizacija ne bi izloila riziku, zbog informacija koje
sadri [23].
Iako gotovo svaka organizacija uspostavlja jedinstven ISMS u specinom kontekstu,
upravljanje zatom informacija ima nekoliko zajednikih elemenata, zasnivanih na kon-
ceptu ciklusa neprekidnog poboljavanja procesa zate, odnosno, modelu planiraj, im-
plemenraj, proveri, deluj PDCA
29
(Plan, Do, Check, Act) ciklusa, kojeg ine faze plani-
ranja odreuje kontekst, obim i granice ISMS i analizira i procenjuje rizik u odnosu na
vrednos informacione imovine; implementacije realizuje odluke za uspostavljanje
i implementaciju dizajna ISMS; provere pra akvnos u praksu ISMS, otkriva pro-
puste i slabos i denie neophodne promene
i faza delovanja, koja realizuje promene na os-
novu utvrenih propusta (Sl. 1.2).
Unutar faza PDCA Deming je predvideo
cikluse (tzv. toak unutar toka), koji povezuju
strategijski menadment i menadment na
niem nivou u velikim kompanijama. Nakon
zavretka PDCA ciklusa, otpoinje novi i na
taj nain se upravljanje sistemom konstantno
prilagoava potrebama organizacije (Sl. 1.3).
29 Dr Edwards Deming, Out of the crisis, gde preporuuje PDCA model Walter A. Shewart-u, osnivau
staske kontrole kvaliteta.
Sl. 1.2. PDCA (Plan, Do, Check Act)
model [23]
199
UJJ O FOJ
Sl. 1.3. Primena PDCA modela na ISMS prema ISK/IEC 27001
Uspostavljanje ISMS nuno dovodi do promena i ue na sve aspekte organizacije.
Menadment organizacije obezbeuje sve neophodne resurse za implementaciju, funk-
cionisanje i odravanje ISMS, a da pri tom ne ue na osnovno poslovanje. Zaposleni/
korisnici najee se moraju dodatno obuava za primenu zahteva ISMS, da bi prihva-
li promene u odnosu na stari nain rada. Klijen/korisnici moraju prihva drugaiji
nain isporuke raunarskih servisa zbog promena nastalih implementacijom ISMS.
Kultura rada se menja, to posebno ue na najstarije zaposlene, koji imaju izgraene
radne navike, a suoeni sa novim pravilima ponaanja, mogu ispolji pad morala tokom
implementacije i primene ISMS. Obavezno vlasnitvo nad objekma informacione imo-
vine, moe izazva stres kod odgovornih zaposlenih. Normavi mogu zahteva dodatno
angaovanje zaposlenih za pisanje polike zate, koja mora bi usklaena sa nekim od
zakona u dravi. Krini faktori za ekasno uvoenje ISMSa u organizaciju mogu bi:
usklaenost polike, ciljeva i prakse zate sa zahtevima poslovanja,
konzistentnost sa kulturom rada i korisnika prihvatljivost ISMS,
integrisanje svih uloga u ISMS u redovno poslovanje organizacije,
menaderska podrka, tako da zaposleni ozbiljno shvate procese ISMS,
razumevanje svih zaposlenih o znaaju zate i ucaju na poslovanje,
razvoj sves svih zaposlenih o potrebi zate, riziku i kako ga ublaava,
potpuna komunikacija izmeu ma za uvoenje ISMS i ostalih zaposlenih,
neprekidna obuka i edukacija zaposlenih u oblas zate i
procesni pristup, upravljanje i poboljavanje procesa PDCA modela i ISMS.
200
KO FOJ
1.2.4.2. Administracija sistema zatite
Administracija sistema zate u distribuiranom IKTS, ukljuuje prikupljanje, analizu
i raspodelu informacija, neophodnih za rad servisa i mehanizama zate. Primeri su di-
stribucija kriptografskih kljueva, analiza parametara zate, kongurisanje log datote-
ka itd. Konceptualna osnova administracije zate je baza informacija za upravljanje
zatom, koja moe da postoji kao jedinstveni ili distribuirani repozitorijum. Svaki od
implemenranih sistema treba da raspolae informacijama, neophodnim za impleme-
ntaciju izabrane polike zate. U skladu sa preporukama ITU X.800 zadaci se dele na
administraciju sistema, servisa i mehanizama zate [10].
Administracija sistema zate u IKTS ukljuuje implementaciju aktuelne polike
zate, saradnju sa drugim administratorima (sistema, mree itd.), reagovanje na inci-
dente, internu i eksternu reviziju, uspostavljanje i odravanje bezbednosnog stanja IKTS.
Administracija servisa zate obuhvata bezbednosnu klasikaciju i kategorizaciju infor-
macione imovine, denisanje kriterijuma za izbor mehanizama za realizaciju servisa
zate i saradnju sa drugim administratorima za usaglaavanje servisa zate. Admini-
stracija mehanizama zate odreuje se na bazi skupa implemenranih mehanizama
zate, a pino obuhvata akvnos, kao to su upravljanje kljuem (generisanje i dis-
tribucija), upravljanje kriptozatom (uvoenje, sinhronizacija i administracija kripto-
grafskih parametara i mehanizama itd.), upravljanje identetom i pristupom (distribu-
cija lozinki, kljueva, smart karca, ACL itd.), upravljanje dopunom saobraaja (razrada
i podrka pravila, izdavanje karakteriska dopune saobraaja frekvencije, obima itd.),
upravljanje ruranjem saobraaja (dodeljivanje poverljivih kanala veze) i upravljanje
registrima (distribucija informacija i administriranje servisa).
1.2.4.3. Metrika za evaluaciju upravljanja sistemom zatite
Za odreivanje efekvnos i ekasnos ISMS procesa, uvodi se metrika performansi
procesa upravljanja. Kriterijumi za izbor metrike ISMS procesa mogu bi brojni parame-
tri kao to su: broj veih incidenata; broj implementacija, koje kasne iz bezbednosnih
razloga; broj krinih poslova zavisnih od IKTS sa planom za konnuitet poslovanja; broj
krinih objekata infrastrukture IKTS sa automatskim nadzorom; procenat poboljanja
sves o ekim i principima zate; potpuna usaglaenost ili doputena odstupanja od
bezbednosnih zahteva; procenat razvoja i dokumentovanja plana i polike zate itd.
Kako ISMS standard ne nudi nikakvu metriku za merenje performansi ISMS procesa,
moe se koris model progresivnog sazrevanja procesa zate SSE CMM (ISK/IEC
21827), specino primenjen na procese upravljanja zatom [22]. Skala nivoa sazre-
vanja prikazana je na Sl. 1.4, gde je:
201
UJJ O FOJ
Sl. 1.4. Skala sazrevanja procesa upravljanja
0. NIVO: ne postoji proces upravljanja zatom nije implemenran.
1. NIVO: inicijalni proces procesi upravljanja su ad hoc i neregularni.
2. NIVO: ponovljiv procesi upravljanja slede regularni obrazac i ponovljivi su.
3. NIVO: denisan procesi upravljanja su ponovljivi, denisani i dokumentovani.
4. NIVO: upravljan procesi upravljanja su nadzirani i kvantavno mereni.
5. NIVO: opmizovan primenjuje se najbolja praksa upravljanja zatom.
Izlazni rezulta procesa upravljanja zatom informacija mogu se grupisa u eri
osnovne oblas:
1. strategijsko usklaivanje bezbednosnih i poslovnih zahteva,
2. novu poslovnu vrednost obezbeuje set najboljih praksi zate,
3. upravljanje rizikom obezbeuje prihvaen i usaglaen prol rizika,
4. merenje performansi procesa upravljanja zatom denisanom metrikom.
1.2.5. Otvoreni problemi upravljanja zatitom inormacija
Osnovni problemi upravljanja zatom spadaju u dve glavne kategorije: dobijanje
neophodne podrke menaderske strukture za izvravanje stratekog plana impleme-
ntacije ISMS i dobijanje neophodne podrke zaposlenih organizacije za implementaciju
polike zate [1, 10, 23, 25, 55].
U teoriji i praksi zate evidenrani su otvoreni problemi u proceni ranjivos i to:
razumevanje stvarnog ucaja ranjivos i rizika za IKTS u realnom okruenju; otean rad
administratora u analizi obimnih izvetaja o ranjivos sistema; znaajno kanjenje raz-
voja bezbednosnih popravki i korekcije ranjivos i; potrebno je vie istraivanja reenja
proakvne zate, kao to su:
a. standardizacija alata za procenu ranjivos sistema (Nmap, Nessus Security, Scanner, ISS
Internet Security Scanner, Symantec NetRecon itd),
b. usklaenost standardizacionih tela za procenu ranjivos (CIDF Common Intrusion De-
tecon Framework, IETF Internaonal Engineering Task Force, IDWG Intrusion Detec-
on Working Group, CVE Common Vulnerabilies and Exposures...),
c. izvoenje vanih projekata za procenu ranjivos: CVE lista standardnih imena za javno
poznate ranjivos i druge izloenos sistema [32] i
d. usvajanje standardnog formata izvetaja o analizi ranjivos AR& (Vulnerability Asses-
ment Report Format) [61].
202
KO FOJ
U oblas monitoringa zate i IDPS nedostaju: standardizacija interoperabilnos
i usaglaavanje tela za standardizaciju; idenkovanje ogranienja i tekuih problema
IDPS; otvorena pitanja ltriranja linih i podataka o organizaciji iz sirovih podataka u
procesima zate privatnos, analize ranjivos i monitoringa IDPS; kompromis izmeu
zahteva za privatnost i kapaciteta IDPS; deljenje podataka izvan domena zate, sa
odravanjem privatnos; uvoenje analize ranjivos/privatnost (SPVA) slino analizi
ranjivos/pretnje i dr.
1.2.6. Preporuke za upravljanje zatitom inormacija
Standard ISMS sugerie da svaka organizacija treba da denie, implemenra, doku-
mentuje i odrava najmanje sledee [23]:
obim i granice ISMS (4.2.1a) i bezbednosne ciljeve (4.3.1a);
ISMS Poliku, kao okvir za set pravila komponen zate (4.2.1b);
opis pristupa (4.2.1c) ili metodologije (4.3.1d);
izvetaj o proceni rizika, koji idenkuje informacionu imovinu u opsegu ISMS, pretnje,
iskorisvos i ucaje koji mogu doves do gubitka CIA (4.2.1c,d,e,f,g i 4.3.1e);
plan ublaavanja rizika, koji idenkuje evaluirane opcije za tretman faktora rizika (4.2.1f
i 4.2.2b);
prihvatanje preostalog rizika i akreditaciju ISMS, ime menadment prihvata preostali
rizik i odobrava primenu ISMS (4.2.1h i 4.2.1i);
izjavu o primenljivos (SOA), koja denie ciljeve izabranih kontrola i kontrole sa razlozi-
ma njihovog izbora, idenkuje ciljeve tekuih i implemenranih kontrola i dokumentuje
razloge za iskljuivanje bilo kojeg cilja kontrola zate (4.2.1g, Aneks A, koji sumira kon-
trole iz ISK/IEC 27002);
dokumentovanje procedura za efekvno planiranje, operavno upravljanje i kontrolu
procesa zate i opis metrika efekvnos kontrola zate (4.3.1g);
evidencije operavne primene ISMS, kao to su odluke menadera, rezulta sistema
nadzora i procedura revizije (audita), procene rizika, izvetaja interne kontrole i revizije
ISMS, plana itd. (4.2.3, 4.3.1 i 4.3.3).
Standard ISK/IEC 27001 sugerie izradu najmanje sledeeg skupa polika/pravila
zate (lista nije zakljuena):
1. sveobuhvatna ISMS Polika (ISMS Policy);
2. polika kontrole pristupa (Access Control Policy) ;
3. polika istog stola i ekrana raunara (Clear Desk and Clear Screen Policy) ;
4. polika arhiviranja i zadravanja podataka (Data Archive And Retenon Policy);
5. polika klasikacije informacija (Informaon Classicaon Policy);
6. polika odlaganja informacija / medija / opreme (Disposal of Informaon / Media / Equipment
Policy);
7. polika zate elektronske trgovine (eCommerce Security Policy);
8. polika prihvatljive upotrebe epote (Email Security/Acceptable Use Policy);
9. polika procene rizika bezbednos informacija (Informaon Security Risk Assessment Policy);
203
UJJ O FOJ
10. polika zate laptop raunara (Laptop Security Policy);
11. polika mobilnog raunarstva i telerada (Mobile Compung and Teleworking Policy);
12. polika zate iznajmljenih resursa (Outsourcing Security Policy);
13. polika upravljanja lozinkom (Password Policy);
14. polika tesranja na proboj (Penetraon Tesng Policy);
15. polika personalne zate (Personnel Security Policy);
16. polika zike zate (Physical Security Policy);
17. polika zate privatnos (Privacy Policy);
18. polika zate autorskih prava na sover (Soware Copyright Policy);
19. polika zate od spama (Spam Policy);
20. polika oporavka i bekapovanja sistema/podataka (System/data Backup and Recovery Policy);
21. polika nadzora korienja sistema (System Usage Monitoring Policy);
22. polika udaljenog pristupa tree strane (Third Party Access Policy);
23. polika zate od virusa/malicioznih programa (Virus/malware Policy).
Preporuene procedure zate informacija daju smernice za procese ukljuene u
implementaciju kontrola zate informacija:
1. procedura bekapovanja;
2. procedure revizije i procene usaglaenos;
3. procedura izvetavanja o incidentu;
4. procedura revizije logike kontrole pristupa;
5. procedura upravljanja bezbednosnim zakrpama;
6. procedura administracije zate;
7. procedura ojaavanja sistema (System Hardening Procedure);
8. procedura tesranja sistema zate;
9. procedura za korisniko odravanje.
Procedure za upravljanje ISMS, koje obezbeuju smernice za ukljuene procese:
1. procedure za korekvne/prevenvne akcije;
2. procedura za kontrolu i reviziju evidencija i dokumenata;
3. procedura interne kontrole ISMS;
4. materijali za razvoj sves o potrebi zate informacija;
5. uputstvo za reviziju ISMS;
6. radna tabela za analizu rizika bezbednos informacija;
7. radna tabela za &MEA analizu rizika (koris modele greaka i analizu efekata, sa fokusom
na potencijalne posledice) itd.
204
KO FOJ
Preporueni proli profesija u oblas zate informacija (uloge, odgovornos, kom-
petencije itd.) za poslove u ISMS:
1. uloge za planiranje konnuiteta poslovanja i oporavak sistema;
2. vlasnik informacione imovine (Informaon Asset Owner);
3. analiar zate informacija (Informaon Security Analyst);
4. projektant sistema zate (Informaon Security Architect);
5. menader zate informacija (Informaon Security Manager);
6. referent (specijalista) zate informacija (Informaon Security O cer);
7. verikator (tester) zate informacija (Informaon Security Tester);
8. revizor IKTS (ICT Auditor);
9. administrator zate (Security Administrator).
Preporuene formalne evidencije u primeni ISMS):
1. planovi za konnuitet poslovanja i izvetaji o tesranju/vebama;
2. izvetaji i liste provera za procenu ucaja na poslovanje;
3. planovi za oporavak IKTS od vanrednih dogaaja i izvetaji o tesranju/vebama;
4. obrasci za izvetavanje i izvetaji o kompjuterskom incidentu;
5. revizija lista za proveru arhitekture i dizajna tehnikog reenja zate;
6. liste za provere/upitnici za pretnje i ranjivos.
ISMS radna dokumenta:
1. registar bekapovanja/arhiviranja (detalji o mediju, podacima, povima i obimu);
2. registar plana za konnuitet poslovanja (detalji o svim BCP status, vlasnitvo, obim,
datum poslednjeg tesranja itd.);
3. baza podataka/registar inventara informacione imovine;
4. registar faktora rizika bezbednos informacija (naziv, vlasnik i priroda rizika, odluka
menadmenta za redukciju/transfer/izbegavanje/rizika itd.);
5. registar kompjuterskih incidenata (moe se derivira iz log datoteka);
6. lista privilegovanih/administratorskih pristupa i ovlaenja;
7. registar licenciranih programa (snabdeva, p i uslovi licence/restrikcije, vlasnik/
menader odnosa sa snabdevaem);
8. lista standardnih programa desktop raunara (katalog dozvoljenih sistemskih i aplika-
vnih programa za desktop raunare);
9. registar sistemskih zakrpa i statusa AVP (verovatno automazovan);
10. registar kontakata i pristupa TTP (ugovorne, kontaktne i druge informacije o TTP).
205
UJJ O FOJ
1.3. REZIME
U procesu upravljanja, GAISP ini osnovni skup konzistentnih principa za uprav-
ljanje sistemom zate informacija ili za integralno upravljanje IKTS sa implemenra-
nim (pod)sistemom zate. Upravljanje sistemom zate odnosi se na odreeni broj
infrastrukturnih servisa koji obezbeuju normalni rad komponen zate i IKTS u celini.
Najznaajniji resurs menadera za upravljanje zatom je m specijalista zate (CIRT).
Integralno upravljanje sa IKTS i sistemom zate (ITU X.700) integrie skupove infor-
macionih servisa i servisa zate, gde mehanizmi zate obezbeuju visoku raspoloivost
informacionih servisa, a upravljanje pouzdan rad i usklaeno funkcionisanje oba skupa
pod kontrolom administratora sistema. Proces obuhvata monitoring, reviziju i koordi-
naciju komponen podsistema upravljanja. U skladu sa ITU X.800 zadaci administracije
zate dele se na tri oblas administraciju IKTS, servisa i mehanizama zate.
Dobru metodologiju za uspostavljanje procesa za upravljanje zatom informacija
obezbeuje standard IEC/ISK 27001 (ISMS). Glavni cilj upravljanja zatom informacija
je uspostavljanje odrivog programa, selekcija i izbor potrebnih resursa i revizija siste-
ma zate za odravanje rizika na prihvatljivom nivou. Ksnovna komponenta programa
zate je polika zate zasnovana na proceni rizika, koja odraava spremnost orga-
nizacije da svoje informacije. Za merenje performansi procesa upravljanja uspeno
se koris metrika modela sazrevanja procesa zate (SSE CMM): 0 ne postoji, 1
inicijalni proces, 2 ponovljiv, 3 denisan, 4 kvantavno upravljan, 5 opmizo-
van).
Osnovni problemi upravljanja zatom su obezbeivanje podrke menaderske
strukture za izvravanje stratekog plana i korisnike prihvatljivos za realizaciju poli-
ke zate. Preporuke za efekvno upravljanje sistemom zate informacija (ISMS)
obezbeuje standard ISK/IEC 27001. Ktvoreni su brojni problemi u oblas usklaivanja
i standardizacije tehnika upravljanja i izvetavanja rezultata procesa zate (evaluacije,
procene ranjivos, validacije izlaza IDPS sistema i dr.).
Administracija zate: ukljuuje realizaciju
polike zate, saradnju sa drugim adminis-
tratorima, reagovanje na incidente, nadzor i
kontrolu sistema zate.
Administracija mehanizama zate: odreuje
se na bazi skupa implemenranih mehaniza-
ma zate i obuhvata brojne akvnos, koje
opisuju procedure.
Administracija servisa zate: obuhvata kla-
sikaciju i odreivanje objekata zate, izradu
pravila za izbor mehanizama zate i saradnju
sa drugim administratorima.
Administracija zate u distribuiranom siste-
mu: dodatno ukljuuje prikupljanje i raspode-
lu informacija neophodnih za rad servisa i me-
hanizama zate.
206
KO FOJ
Izjava o primenljivos SOA (Statement Of
Applicability): dokument kojim menadment
potvruje i prihvata primenljivost ili nepri-
menljivost kontrola za tretman rizika.
Upravljanje sistemom zate: odreeni broj
infrastrukturnih servisa koji obezbeuju nor-
malni rad komponen, ureaja i sistema
zate informacija.
Zapis (Record): evidencija objekvnog dokaza
koji pokazuje da je akvnost preduzeta.
1. Za upravljanje zatom mogu se primeni
sledei principi upravljanja rizikom:
a. procena rizika i odreivanje bezbednos-
nih potreba
b. uspostavljanje organizacije za centralno
upravljanje
c. GAISP principi zate
d. implementacija polike i rentabilnih
kontrola zate
e. razvoj sves o potrebi zate i obuka
korisnika u za
f. nadzor i revizija efekvnos sistema
zate i evaluacija usklaenos
g. serkacija i akreditacija sistema zate
2. Ako u IKTS nije implemenran sistem
zate, treba ukljui najmanje sledee
upravljake kontrole:
a. razvoj polike zate
b. zika zata
c. obuka i razvoj sves o potrebi zate
d. nametanje obaveza i elementarna
prakna obuka u oblas zate
e. personalna zata
f. obavezna razmena informacija o inci-
denma
g. denisanje i saradnja nosioca odgovor-
nos u oblas zate
3. Prvi pristup upravljanja zatom informaci-
ja ukljuuje:
a. trera upravljanje zatom kao inte-
gralni proces IKTS i sistema zate
b. odreeni broj infrastrukturnih servisa
koji obezbeuju normalni rad IKTS i
sistema zate
c. mehanizmi zate obezbeuju visoku
raspoloivost informacionih servisa
d. kompleksnost IKTS i sistema zate
dovodi do postepene degradacije ser-
visa IKTS i sistema zate, ako procesi
nisu sinhronizovani
e. integrisano upravljanje obezbeuje
normalno i usklaeno funkcionisanje
pod kontrolom sistem administratora
f. zahteva dobru organizaciju i sinhroni-
zaciju upravljanja zatom i IKTS
4. Drugi pristup upravljanja zatom:
a. trera upravljanje sistemom zate kao
integralni faktor IKTS i sistema zate
b. obuhvata odreeni broj infrastruk-
turnih servisa koji obezbeuju normalni
rad IKTS i sistema zate
c. mehanizmi zate obezbeuju visoku
raspoloivost informacionih servisa
d. kompleksnost IKTS i sistema zate
dovodi do postepene degradacije ser-
visa IKTS i sistema zate, ako procesi
nisu sinhronizovani
e. integrisano upravljanje obezbeuje
normalno i usklaeno funkcionisanje
pod kontrolom sistem administratora
f. zahteva dobru organizaciju i sinhroni-
zaciju upravljanja zatom i IS
207
UJJ O FOJ
5. Klasa upravljakih kontrola najbolje prakse
zate sadri sledee familije kontrola:
a. upravljanje konguracijom, upravljanje
otkazima, upravljanje funkcionisanjem,
upravljanje vanrednim dogaajem i
incidentom
b. upravljanje programom, bezbednosnu
procenu i autorizaciju, planiranje
sistema zate, analizu i procenu rizika,
akviziciju sistema i servisa zate
c. upravljanje zatom, upravljanje
kontrolnim informacijama, planiranje
sistema zate, analizu i procenu rizika,
akviziciju sistema i servisa zate
6. U skladu sa standardom ISK/IEC 27001 za
upravljanje sistemom zate informacija
kljuni koraci su:
a. idenkovanje pretnji i procena rizika
b. planiranje i delovanje
c. provera i korekcije ranjivos
d. implementacija kontrola zate i us-
postavljanje polike zate
7. Sistem idenkatora (benchmark) za razvoj
upravljanja zatom informacija sadri tri
faze:
a. Benmark sistem, uspostavljanje poli-
ke zate, implementacija kontrola
zate
b. idenkovanje pretnji, procena rizika,
uspostavljanje polike zate, imple-
mentacija kontrola zate
c. Benmark sistem, procena rizika, imple-
mentacija kontrola zate
8. Generiki proces KKM upravljanja IKTS i
zatom informacija obuhvata sledee
oblas upravljanja:
a. informacionu, programsku, komunika-
cionu i organizacionu
b. informacionu, funkcionalnu, komunika-
c. programsku, funkcionalnu, komunika-
d. informacionu, strukturnu, komunika-
9. U skladu sa preporukama ITU X.700 struktu-
irani integrisani proces upravljanja obuh-
vata upravljanje:
a. programom zate, konguracijom, ot-
kazima, funkcionisanjem, topologijom
mree
b. vanrednim dogaajem, kompjuterskim
incidentom, konguracijom, otkazima,
funkcionisanjem
c. konguracijom, otkazima, funkcionisan-
jem, zatom i kontrolnim informaci-
jama
d. polikom zate, administracijom
zate, otkazima, funkcionisanjem,
zikom zatom i kontrolnim infor-
macijama
10. U KKM upravljanja uvode se sledei poj-
movi:
a. objek upravljanja kljuem (generi-
sanje i distribucija), atribu objekta,
doputene operacije, izvetavanje i veza
sa drugim objekma upravljanja
b. objek upravljanja, atribu objekta,
doputene operacije, izvetavanje i veza
sa drugim objekma upravljanja
c. objek upravljanja ruranjem
saobraaja, atribu objekta, doputene
operacije, izvetavanje i veza sa drugim
objekma upravljanja
11. Zajedniki elemen sistema upravljanja
zatom informacija (ISMS) su:
a. pripremi, izaberi m, uskladi sa poli-
kom i implemenraj
b. izbor ma za upravljanje zatom
c. planiraj, implemenraj, proveri i deluj
d. kontrola i revizija sistema zate
e. planiraj, proceni rizik, izaberi kontrole,
implemenraj i proveri
12. Ksnovne kategorije preporuka i problema
upravljanja zatom su:
a. obezbeivanje neophodne podrke
menaderske strukture
b. obezbeivanje tehnikih kontrola
zate
208
KO FOJ
c. obezbeivanje potrebnog nivoa sves o
potrebi zate
d. obezbeivanje potrebne podrke zapo-
slenih
e. obezbeivanje ma za zatu
13. U skladu sa preporukama ITU X.800 zadaci
administratora zate IKTS u celini su:
a. saradnju sa drugim administratorima za
usaglaavanje servisa zate
b. izrada aktuelne polike zate
c. upravljanje kriptozatom
d. planiranje vanrednih dogaaja
e. reagovanje na incidente
14. U KKM i procesnom pristupu, metrika za
evaluaciju ISMS zasniva se na:
a. metrici ISMS standarda
b. metrici standarda ISK/IEC 133353
c. metrici standarda ISK/IEC 21827
d. metrici standarda ISK/IEC 15405
15. Izlazni rezulta procesa upravljanja
zatom informacija mogu se grupisa u
sledee osnovne oblas:
a. zakonsko usklaivanje, novi kvalitet
sistema zate, upravljanje rizikom,
merenje performansi
b. usklaivanje sa praksom zate, nova
vrednost procesa zate, merenje per-
formansi, upravljanje rizikom
c. strategijsko usklaivanje, nova po-
slovna vrednost, upravljanje rizikom,
merenje performansi
16. Poveite nivoe procesa upravljanja sa odgo-
varajuim karakteriskama:
Nivo zrelos Glavne karakteriske
0. nivo a. ponovljiv procesi upravljanja slede regularni obrazac i ponovljivi su
1. nivo b. denisan procesi upravljanja su dokumentovani, upoznata organizacija
2. nivo c. ne postoji proces upravljanja zatom nije uopte primenjen
3. nivo d. inicijalni proces procesi upravljanja su ad hoc i neregularni
4. nivo e. opmizovan primenjuje se najbolja praksa upravljanja zatom
5. nivo f. upravljan procesi upravljanja su nadzirani i mereni
209
UJJ O FOJ
2.
UPRAVLJANJE BEZBEDNOSNIM RIZIKOM
2.1. UVOD
Upravljanje bezbednosnim rizikom u IKTS, u suni, obuhvata sveukupan proces us-
postavljanja i odravanja reakvnog sistema zate. Procena rizika, kljuna komponenta
upravljanja rizikom, je proces kojim se rizik idenkuje, analizira, evaluira i procenjuje,
da bi se obezbedio adekvatan i rentabilan sistem zate.
Rizik je funkcija verovatnoe da e da agent pretnje iskoris odreenu ranjivost
IKTS i izazva negavne posledice za sistem i organizaciju u celini, a moe bi inher-
entni, tekui i preostali. Nivo prihvatljivog rizika je specian za svaku organizaciju, zavisi
od misije, internih standarda, vrednos imovine, kulture rada i odluke menadmenta.
ato je opis rizika detaljniji, to ga je lake razume i proceni. Misija sistema zate je
odravanje zate na prihvatljivom nivou rizika.
Procena rizika moe se vri u svim fazama razvoja ivotnog ciklusa IKTS. Zavisno
od namene, mere i metodi ublaavanja rizika mogu se svrsta u osam grupa: izbega-
vanje rizika, transfer rizika, redukcija pretnji, redukcija ranjivos sistema, redukcija u-
caja pretnji, detekcija i spreavanje pretnji, prihvatanje rizika i oporavak sistema. Neke
mere je lake i jeinije uves u ranoj fazi ivotnog ciklusa sistema. Metod za procenu
rizika, razvijen na bazi generike metodologije za analizu rizika ISK/IEC TR 13335 3
i standarda ISK/IEC 27005, NIST SP 800 30, zahteva akviziciju informacija o vrednos
informacione imovine (A), pretnjama (T), ranjivosma (V), ucaju (U) ili proceni da e
pretnje iskoris ranjivos i potencijalno uca na poslovne procese u vidu materijalne
i/ili nematerijalne tete i o proceni i proraunu faktora rizika kombinovanjem atributa
A, T, V i U.
210
KO FOJ
Za ublaavanje rizika biraju se i implemenraju kontrole zate, tako da obezbede
izbalansiranu i komplementarnu zatu, tj. sistem zate u kojem su manje ekasne
mere i metode zate dopunjene sa ekasnijim merama i metodama, a tehnike kontro-
le zate sa proceduralnim.
2.2. OPTA METODOLOGIJA ZA UPRAVLJANJE RIZIKOM
2.2.1. Glavni principi upravljanja rizikom
U modelu stratekog rizika organizacije (kue rizika) (Sl. 2.1a)
30
, iz perspekve
izvrnog menadmenta, uloga bezbednos IKTS je minorna i od ma za zatu zahteva
se da IKTS bude dobro zaen, a informacije dostupne, poverljive i neizmenjene. U isto
vreme, informaari znaju da je uloga IKTS odluujua, jer se veina, ako ne i sve infor-
macije organizacije nalaze u sistemu. Drugim reima, bez bezbednos IKTS, informa-
cioni blok stratekog rizika nije stabilan, kao ni itav sistem. Gotovo svi poslovni IKTS u
Internet okruenju, izloeni su slinim bezbednosnim rizicima, koriste sline tehnologije
za ublaavanje rizika i imaju sline ciljeve zatu CIA informacija. Preporuuje se hijer-
arhijski pristup upravljanju rizikom, koji podrazumeva eksibilnu i agilnu implementaci-
ju, vrsto povezanu sa arhitekturom i fokusiranu na ceo ivotni ciklus sistema. (Sl. 2.1b).
a) b)
Sl. 2.1. Model (a) i hijerarhijski pristup upravljanju stratekim rizikom (b)
30 Bartol, N., & all, Measuring Cyber Security and Informaon Assurance, IATAC, 8. 05. 2009.
211
UJJ O FOJ
&unkcionalni model generikog okvira za upravljanje rizikom prikazan je na Sl. 2.2a.
Za efekvno upravljanje rizikom, treba implemenra esnaest akvnos (vide Tabelu
1.1) glavnih principa upravljanja rizikom (UR). Vaan faktor za efekvnu implementaciju
principa UR je njihovo ciklino ponavljanje, koje obezbeuje da polika zate uvek
ukljuuje tekue faktore rizika, priblino u realnom vremenu. Ciklino upravljanje rizi-
kom (Sl. 2.2b) obezbeuje odravanje polike zate, nadzor, kontrolu, reviziju i uprav-
ljanje sistemom zate [67].
U KKM, IKTS i okruenje se razmatraju kao jedna celina, sa sledeim objekma: cilje-
vi, okruenje, resursi, komponente i upravljanje [10, 66]. Kdnosi sistema i okruenja i
stepen kontrole, koju neka organizacija moe uspostavi nad okruenjem sistema, zavise
u najveoj meri od obima i intenziteta skupljanja informacija, potrebnih za analizu i pro-
cenu faktora rizika. Kp model za analizu i procenu bezbednosnog rizika sadri tri kon-
ceptualne oblas upravljanje rizikom, analizu i procenu rizika i stepen neodreenos
rizika (pretnje, iskorienja ranjivos i ucaja), koja interakvno deluje na procenu fak-
tora rizika (Sl. 2.3).
a)
b)
Sl. 2.2. Generiki okvir (a) i ciklus (b) upravljanja rizikom
212
KO FOJ
Sl. 2.3. Generiki model za analizu i procenu rizika [67]
U prvom koraku denie se obim procene rizika. Zam se analiziraju komponente
rizika vrednost imovine (A), pretnje (T), ranjivos (V), verovatnoa ucaja (U) i zata,
kvankuju se njihovi atribu i speciciraju meusobni odnosi. Iz rezultata analize pro-
cenjuju se faktori rizika i tesra njihova prihvatljivost. U analizi ucaja faktora rizika
razvija se scenario ta ako, u sluaju da se dogodi svaki razmatrani faktor rizika. Pro-
cenjuju se verovatnoa pojave, uestanost i intenzitet ucaja svakog faktora rizika, kao i
ucaja kombinacije faktora rizika. Procena faktora rizika je valjana za odreeno vreme,
iako se temeljito uradi, jer se scenario pretnji brzo menja pa se i procena rizika mora
ee aurira. Ako su faktori rizika realni, proces ulazi u okvir upravljanja rizikom, gde se
mogu specicira promene zahteva za sistem ili okruenje sistema, uvoenjem razliih
kontrola zate. Procedura se ponavlja sve dok svi analizirani faktori rizika ne budu tre-
rani ili na prihvatljivom nivou. Tok procesa upravljanja rizikom najbolje generie kriteri-
jume za izbor kontrola zate, rentabilnih za ublaavanje rizika, i to ako [55]:
napad postoji: implemenra pouzdane tehnike kontrole za smanjenje
verovatnoe neeljenog napada;
postoji iskorisva ranjivost: primeni slojevitu zatu i projektova bezbednu
arhitekturu IKTS da se sprei iskorienje ranjivos;
trokovi napada su manji od dobi: primeni takve kontrole zate da se poveaju
trokovi napada ili znaajno smanji potencijalna dobit napadaa;
gubitak je suvie velik: primeni principe projektovanja i arhitekture sistema
vieslojne zate sa proceduralnim i tehnikim kontrolama zate.
213
UJJ O FOJ
Primer toka procesa za uspeno odravanja rizika na prihvatljivom nivou za namerni,
ali ne i maliciozni napad hakera sa Intraneta prikazan je na Sl. 2.4. [26].
Sl. 2.4. Tok procesa UR od namernog, nemalicioznog eksternog napada
2.2.2. Generiki metod kvalitativne procene rizika
U procesu analize i procene bezbednosnog rizika, procenjuju se sledei atribu:
vrednost informacione imovine A, pretnje T, ranjivos V i ucaj U (verovatnoa
da e pretnje iskoris ranjivos i nane tetu). Procene su uvek unutar obima i granica
bezbednosnog rizika i smatra se da izvan njih nema rizika [49]. Atribuma se pridruuju
kvalitavni teinski faktori (numeriki: 1 5; 1 10 itd. ili tekstualni: nizak, srednji,
visok; nizak, srednje nizak, srednji, srednje visok, visok itd.) koji se, zam, kombinuju,
proizvodei meru relavnog rizika Rr za specinu ranjivost. Vrednost rizika se uvek
smatra relavnom, zato to se relacija zasniva na subjekvnom vrednovanju i rangiranju
vrednos atributa A,T,V,U bez formalnog prorauna faktora neodreenos ovih atribu-
ta. Stohaska dimenzija rizika se u velikoj meri odnosi na to, koliko je za agenta pret-
nje atrakvno da iskoris ranjivost sistema. Kva atrakvnost odreuje prioritet akcije i
direktno je proporcionalna odnosu ucaja i rizika ili verovatnoi neuspeha akcije, koju
agent pretnje preduzima (Sl. 2.5).
214
KO FOJ
Sl. 2.5. Dijagram odnosa ucajverovatnoa neuspeha napada
Koristan nain za poreenje faktora rizika je, takoe, odnos koris za napadaa i
rizika kojem se izlae. ato je korist za napadaa vea u odnosu na rizik, kojem se izlae,
iskoriavanjem ranjivos za napad na sistem, moe se oekiva ea materijalizacija
tog faktora rizika. Napada nastoji da ostvari to veu korist uz to manji rizik i takav
napad e bi prioritetan.
Za razumevanja procesa procene rizika korisno je razume prirodu i doprinos sva-
kog pojedinanog atributa ukupnom riziku, kroz primer intuivne kvalitavne procene
atributa Rr (Tabeli 2.1).
Tabela 2.1. Primer intuivne procene atributa A,V,T i relavnog rizika (Rr)
Primer scenarija Procena A Procena V Procena T Procena Rr
Korpa sa mesom i vukovima u umi visoka visoka visoka visoka
Prazna korpa sa vukovima u umi niska visoka visoka niska
Meso u hermeki zatvorenom
kontejneru sa vukovima u umi
visoka niska visoka niska
Korpa sa mesom na kuhinjskom stolu visoka visoka niska niska
2.2.3. Formalna metodologija za procenu rizika
Dva, svetski, najpoznaja enteta za standardizaciju i najbolju praksu zate infor-
macija (ISK/IEC 27005 i NIST SP 800-30), razvili su metodologiju za upravljanje rizikom
kroz eri razliite akvnos: procena rizika, ublaavanje rizika, prihvatanje rizika i ko-
215
UJJ O FOJ
munikaciju rizika. ISK/IEC 27005 metodologija procene rizika sadri tri glavne akvnos:
idenkaciju, analizu i evaluaciju rizika. NIST standard predlae sveobuhvatnu procenu
rizika, koja ukljuuje devet primarnih koraka, koji se danas smatraju najboljom industri-
jskom praksom za procenu rizika: (1) karakterizacija sistema, (2) idenkacija pretnji,
(3) idenkacija ranjivos, (4) analiza kontrola, (5) odreivanje verovatnoe, (6) analiza
ucaja, (7) odreivanje rizika, (8) preporuke kontrola zate i (9) dokumentacija procene
rizika. Meum, zbog faktora neodreenos, sistemi zate bazirani na bilo kojoj meto-
dologiji za procenu rizika, daju organizaciji samo privid da je zaena, jer se ne zasniva
na stvarnom stanju rizika. Zato svaki m za UR mora idenkova razlike izmeu privida
i stvarnog stanja rizika IKTS i to ekasnije ih otklanja [67, 24].
U poslednjim decenijama evolucije psihologije i neurologije, obezbeeni su dokazi
o ljudskoj percepciji rizika. Ljudi koriste razliite mentalne kalkulatore koji ih, zavisno
od toga na emu se zasnivaju, ine dobrim ili loim proceniteljima rizika. Ipak, ovek je,
esto, daleko od toga da sam izvri realnu procenu rizika. Na primer, percepcija znaaja
rizika se poveava, itajui o najgorim scenarijima u medijima, pri emu se gubi iz vida
verovatnoa tog dogaaja.
Pareto princip, poznat kao i pravilo 80:20, odnosno, da 80% efekata dolazi od 20%
uzroka, u potpunos se moe primeni na procenu rizika: 80% posledica od realizacije
rizika, dolazi od iskorienja 20% postojeih ranjivos. Problem je u tome, kako iden-
kova h 20% postojeih ranjivos. Grakoni ucaj-verovatnoa i korist-rizik, mogu
pomoi da se primeni Pareto princip. U odnosu na hronian nedostatak sredstava za
ublaavanje svih faktora rizika, koje m za upravljanje rizikom predloi, mogu se iden-
kova dva skupa faktora rizika:
rizik sa najveim ucajem, tj. koji ozbiljno pogaa organizaciju i
rizik sa najveim odnosom korist-rizik za napadaa, tj. onaj koji je ekstremno
privlaan za napadaa (gotovo bez rizika, a sa velikom dobi).
Dakle, potrebno je doda stohasku dimenziju u oba seta. Baze podataka koje sku-
pljaju informacije o kompjuterskim incidenma u svetu, mogu pomoi da se dogaaj
rizika u organizaciji proceni sa veom verovatnoom i da m za UR bolje razlikuje vero-
vatan rizik od mogueg.
Dobar pristup proceni rizika je odreivanje prioriteta za akciju tretmana rizika i
trokove na bazi Parteo principa 80:20. U prvom koraki treba idenkova i impleme-
nra, kontrole za ublaavanje krinih faktora rizika, sa (1) najveim ucajem, (2)
najveom verovatnoom i (3) najveim odnosom korist/rizik za napadaa, a, zam, za
one faktore rizika, koji imaju procenu visok, barem u dve od ove tri dimenzije.
Taksonomija rizika mogua je u odnosu na vie kriterijuma. U odnosu na oblast izla-
ganja, riziku su izloeni: ljudski faktor, tehnologija, okruenje i poslovni procesi. U odno-
su na izvor rizik moe bi operavni dolazi od funkcionisanja organizacije i strateki
dolazi od poslovnih, socijalnih, polikih, ekonomskih i tehnolokih faktora. Speci-
jalni p stratekog rizika je rizik za ugled organizacije, koji nastaje posle realizacije rizika
216
KO FOJ
bilo kojeg pa i prirode (primer je kompromitacija web servera banke). Alternavno, u
odnosu na izvor, rizik se moe podeli na hazardni od zikog okruenja i nansijski
od kredita, inacije, trinih cena itd. U odnosu na ucaj rizik se moe, sa dovoljnom
tanou, rangira u kvalitavnom pristupu sa: visok, srednji, nizak, a u kvantavnom
izrazi u novanim jedinicama oekivanih godinjih gubitaka (KGG), koji bi nastali da
nema kontrola za ublaavanje rizika.
2.2.3.1. Uspostavljanje konteksta za procenu rizika
U standardu ISK/IEC 27005 proces uspostavljanja konteksta za procenu i analizu rizi-
ka odvija se kroz eri faze:
1. denisanje osnovnih parametara za upravljanje rizikom;
2. denisanje obima i granica analize i procene rizika;
3. uspostavljanje i organizacija ma za upravljanje rizikom;
4. uspostavljanje strukture i procesa za procenu rizika.
1. Denisanje osnovnih parametara za upravljanje rizikom ukljuuje odreivanje poten-
cijalno raspoloivih resursa za analizu i procenu rizika:
a. izabra odgovarajui pristup/metodologiju za procenu rizika ISK/IEC TR
13335-3, ISK/IEC 27005, NIST SP 800-30, CRAMM, KCTAVE, BAR itd., pomone
alat za proraun faktora rizika (RA2, CKBRA, HESTIA i dr.), uzorke radnih tabela i
standardne taksonomije pretnji i ranjivos;
b. denisa kriterijume za evaluaciju rizika legalne zahteve, ugovorne obaveze,
operavne i poslovne gubitke i dr;
c. uspostavi kriterijume za procenu ucaja rizika operavne, tehnike, nansi-
jske, legalne, normavne, socijalne i dr;
d. uspostavi kriterijume za prihvatanje rizika mogui su razlii nivoi praga prih-
vatanja rizika u istoj organizaciji;
e. denisa potencijalno raspoloive resurse za uspostavljanje ma za UR u orga-
nizaciji, izbor i implementaciju kontrola zate za tretman rizika.
2. Denisanje obima i granica analize i procene rizika moe da ukljui strateke i
kratkorone poslovne ciljeve, poslovne procese i strategiju razvoja, poliku zate
organizacije, legalne i normavne zahteve, oblast primene i razloge za iskljuivanje
nekog objekta iz procesa UR. Granice procesa UR pino ukljuuju: poslovne ciljeve i
poliku, istu informacionu imovinu, ljude, ziko i socijalnokulturoloko okruenje
i poslovne procese i akvnos.
3. Uspostavljanje i organizacija ma za upravljanje rizikom ukljuuje idenkaciju i
analizu relevantnih uesnika, izbor lidera i lanova ma, denisanje uloga i odgo-
vornos svih uesnika i uspostavljanje zahtevanih odnosa i potpune komunikacije
izmeu ma i ostalih uesnika.
217
UJJ O FOJ
4. Uspostavljanje strukture procesa procene rizika ukljuuje uspostavljanje konteksta
za upravljanje rizikom, idenkovanje, analizu, evaluaciju i procenu rizika, tretman i
prihvatanje preostalog rizika (Sl. 2.6).
Sl. 2.6. &unkcionalni model procesa procene rizika
U procesu procene rizika zahteva se potpuna komunikacija, koja ukljuuju sakup-
ljanje informacija za idenkaciju faktora rizika, analizu toka informacija za izbegavanje/
redukciju rizika, konsultacije za relevantne uesnike, radi boljeg razumevanja procesa
UR itd. Plan komunikacije treba razvi u ranoj fazi procesa.
Kvalitet procesa UR, skupljanje informacija o riziku i otpornost sistema zate na
proboj, obezbeuju se izradom procedure za UR. Glavni cilj izrade procedure za UR je
da demonstrira generalni stav organizacije prema za i smanji ucaj proboja sistema
zate na poslovne procese.
Nadzor, kontrola i revizija procesa UR idenkuju promene faktora rizika u ranoj fazi.
Glavni cilj je odredi relevantnost tekue procene rizika i po potrebi preduzima korek-
vne akcije, ukljuujui redenisanje: konteksta, kriterijuma za evaluaciju rizika, pristu-
pa i metodologije za procenu rizika, opcija tretmana rizika, metoda komunikacije itd.
Predmet kontrole i revizije u procesu UR, mogu bi zakonski okvir, okruenje, konkuren-
cija, kriterijumi za evaluaciju rizika, itd.
218
KO FOJ
2.2.3.2. Proces analize i evaluacije rizika
Proces za procenu rizika obuhvata faze analize (idenkacije i esmacije) i evaluacije
rizika.
Analiza rizika podrazumeva analizu svakog faktora rizika, u odnosu na to zato i kako
moe nasta. &aktore rizika treba idenkova, a zam izvri esmaciju.
Idenkacija faktora rizika mora bi sveobuhvatna, struktuirana i argumentovana.
Korisno je idenkova faktore rizike koje treba trera pod kontrolom organizacije, ali
i izvan te kontrole. &aktori rizika se mogu nalazi u oblas imovine (A), kombinovanih
pretnji (T) i ranjivos (V), a idenkuju se u odnosu na verovatnou ucaja ili da e
pretnja/e iskoris ranjivost/i i nane tetu. U ovoj fazi se deniu i neprihvatljive po-
sledice ucaja faktora rizika, kao i primenljivi metodi za idenkaciju faktora rizika ek
liste, intervjui, sistemska analiza i sistem inenjerske tehnike. Oekivani izlazi iz ove faze
procesa analize rizika su dokumen: inventar informacione imovine, taksonomija rele-
vantnih pretnji i taksonomija relevantnih ranjivos.
Esmacije parametara rizika moe bi kvantavna ili kvalitavna stasko
numerika aproksimacija. Kva faza analize rizika ukljuuje sve faktore neodreenos
u proceni rizika (NIST SP 800-30). &aktori neodreenos u proceni rizika mogu se sma-
nji primenom formalnih modela i sloenog matemakog aparata, to je nerentabilno
i prakno se retko koris. Sasvim prihvatljiv metod redukcije faktora neodreenos u
proceni rizika je izbor najnepovoljnije esmacije, koja daje najvei rizik, ime se pro-
akvno ue na izbor robustnijih kontrola zate za efekvniji tretman rizika. Na primer,
parametri rizika (A, T, V), relavno nezavisnih objekata mogu se u esmaciji Rr mnoi
ili sabira:
Rr= A V T, ili Rr=A + V + T (3.1)
Mnoenjem parametara rizika umanjuju se posledice ucaja faktora neodreenos
na tanos procene rizika, pa je bolja aproksimacija od sabiranja parametara rizika.
Idenkacija i esmacija informacione imovine (A) obuhvata dve kljune kategorije
listu inventara i bezbednosnu kategorizaciju i klasikaciju imovine. Pod inventarom
informacione imovine u standardu se podrazumevaju svi materijalni i nematerijalni ob-
jek koji imaju neposredan i posredan znaaj za bezbednost informacija. Klasikacija
informacione imovine, prema standardu ISK/IEC 27001, prepoznaje est kategorija gru-
pisanih u istu informacionu imovinu, ziku imovinu i humanu imovinu, ali ostavlja i
mogunost da organizacija uvede i nove kategorije ukoliko postoji potreba. U skladu sa
obimom i nivoom procenjenog rizika, inventar imovine organizacije, treba srazmerno,
ali ne previe detaljno, grupisa u bezbednosne kategorije, da bi se smanjila komple-
ksnost analize i procene rizika. Kvo je veoma znaajna faza, jer predstavlja ulaz u proces
analize rizika. Propus u izradi ove liste mogu ima velike posledice, jer se nee trera
kroz proces analize, procene i ublaavanja rizika.
219
UJJ O FOJ
Svi objek A treba da imaju svoje vlasnike (staraoce), odnosno da za njih budu
zadueni neki ente organizacije. Vlasnitvo nad informacijama mogu ima poslovni
procesi, denisani skup akvnos, aplikacije, denisane grupe podataka i zaposleni.
Runski poslovi sa vlasnikim informacijama ili objekma imovine mogu bi delegirani,
ali odgovornost ostaje na vlasniku. Vlasnici koji su zadueni za objekte A, odgovorni su za
klasikaciju informacija i bezbednosnu kategorizaciju imovine, odreivanje i periodinu
proveru prava pristupa (ovlaenja i privilegija).
Informacije mogu ima razliite stepene osetljivos i krinos za poslovanje. Cilj
klasikovanja informacija je odravanje odgovarajueg nivoa zate. Informacije treba
klasikova po potrebi, prioritema i oekivanoj poverljivos prilikom upotrebe. Neke
od njih zahtevaju posebne tretmane i stepene specijalne zate. aema za klasikovanje
informacija treba da sadri stepene osetljivos i uputstva za upotrebu u zavisnos od
stepena osetljivos. Kdgovornost za klasikaciju informacija snosi vlasnik. U praksi se
najee uspostavlja nekoliko stepena klasikacije informacija, na primer: javne, in-
terne, poverljive, strogo poverljive itd. Klasikacionu emu i mere u odnosu na klasi-
kaciju svaka organizacija kreira prema svojim potrebama i mogunosma. Bitno je
napomenu da je u praksi gotovo nemogue nai organizaciju koja ima savren sistem
klasikacije informacija, iz nekoliko razloga. Informacije se esto ne klasikuju, zaposleni
se ne pridravaju instrukcija i mera iz klasikacione eme ili se zahteva viekratna pri-
mena klasikacije nad istom informacijom (to je najtee izvodljivo). Zam, informacije
tokom korienja uestvuju u procesima, mogu bi podlone promeni klasikacije u
odnosu na vremenski period (neke strogo poverljive, to vie nisu posle odreenog vre-
mena), a esto se ukazuje i potreba za promenom vlasnika informacije u procesu. Taj
komplikovani proces nije uvek jednostavno ispra, pa sistem klasikacije informacija
uvek treba poboljava. Na ovaj proces se takoe moe primeni PDCA model, kao
nain poboljanja sistema klasikacije, to je sa aspekta ISMS Demingov toak u toku.
Pravila upotrebe informacija i drugih objekata informacione imovine, treba da budu
denisana, dokumentovana (kroz poliku komponen sistema zate
31
) i implemen-
rana. Svaku razvijenu poliku, u kontekstu ISMS, odobrava glavni menader, a odgovor-
nost za sprovoenje snose izvrni menaderi i zaposleni.
Za esmaciju vrednos imovine (A) mogu se izabra kvantavne ili kvalitavne skale
gradacije. Kvantavna skala gradacije izraava se u novanim jedinicama trokova na-
bavke, oporavka ili popravke posle nanete tete, to uvek nije dovoljno za sve objekte
imovine. Kvantavni metodi se uglavnom koriste u okruenjima sa rigoroznim zahte-
vima za procenu rizika (vojska, policija itd.).
Kvalitavna skala gradacije imovine moe se kreta u razliim opsezima, npr. zane-
marljiv (Z), vrlo nizak (VN), nizak (N), srednji (S), visok (V), vrlo visok(VV), krian (K).
Kako se za bezbednosnu kategorizaciju imovine uzima najnepovoljniji sluaj, u praksi je
dovoljna skala gradacije: N, S, V. Za pripisivanje vrednos objekma A, mogu se koris-
brojni, nedvosmisleni i dokumentovani kriterijumi, to je i najtea faza ovog koraka,
31 NIST denie poliku zate: organizacije, IKTS, sistema zate (ISMS) i komponen zate.
220
KO FOJ
kao to su: originalna nabavna cena, trokovi zamene i/ili re-kreiranja u sluaju kvara/
destrukcije, trokovi nastali gubitkom CIA, gubitak ugleda, klijenata, konkurentske pred-
nos na tritu i sl. Takoe, mogu se koris i generiki kriterijumi za esmaciju, kao
to su: povreda zakona i/ili normava, neusaglaenost performansi poslovnih procesa,
ugroavanje privatnos linih informacija i line sigurnos, negavan ucaj na primenu
zakona, naruavanje javnog reda, ugroavanje ivotne sredine itd. Neki objek A mogu
ima vie kriterijuma za pripisivanje vrednos, na primer, plan poslovanja se moe vred-
nova na bazi vrednos razvoja i izrade plana (Ap), vrednos unosa podataka u plan
(Ad) i vrednos plana za konkurenciju (Ak).
Kvantavna procena vrednos imovine ukljuuje cenu nabavke, implementacije i
odravanja. Sve vrednos viestruke i kombinovane procene se maksimiziraju (prema
kriterijumu bezbednosne kategorizacije Bk). Konana vrednost koja se dokumentuje
mora bi paljivo odreena. Na kraju, sve esmacije vrednos objekata A treba reduko-
va na zajednikoj osnovi.
Vrednost A generalno se procenjuje na bazi znaaja objekta informacione imovine
za poslovanje organizacije, tako da najznaajniji (najkriniji) objek imaju najveu
vrednost A. U objektnom pristupu, vrednost A se moe odredi sabiranjem relavno
nezavisnih atributa kvaliteta imovine, koji adivno doprinose njihovoj vrednos za orga-
nizaciju:
A = P + R+ I (3.2)
gde je: P poverljivost, R raspoloivost, I integritet objekta A.
Primer izbora kriterijuma za esmaciju teinskih faktora i proraun vrednos A, koji
se primenjuju na sve tri grane objekata za zatu (P, R, I), dat je u Tabela 2.2.
Tabela 2.2. Kriterijumi za odreivanje teinskih faktora vrednos A
Nivo vrednos
Teinski
faktor
Denicija kriterijumi
Najvei 1
Kva imovina (A) ima najviu vrednost za organizaciju i moe se
vrednova i vie od oekivane trine vrednos. Gubitak moe
ima ozbiljan ucaj na ukupno poslovanje.
Srednje visok 2
Kva imovina ima vrlo visoku vrednost za procese rada, a gubitak
moe ima ozbiljan ucaj na neke poslove.
Srednji 3
Kva imovina je znaajna i moe bi zamenljiva, a gubitak moe
ima trenutne, ozbiljne posledice za poslovanje.
Srednje nizak 4
Kva imovina je zamenljiva, ali je cena zamene relavno visoka, pa
moe ima samo umeren ucaj na ukupno poslovanje.
Nizak 5
Kva imovina nema stvarnu ekonomsku vrednost unutar procesa
rada i moe se lako i jeino zameni.
221
UJJ O FOJ
Idenkacija i esmacija ranjivos sistema (V) ukljuuje ranjivos organizacije, pro-
cesa i procedura, upravljanja, personala, zikog okruenja, arhitekture i konguracije
IKTS, hardversko-soverske i komunikacione opreme, odnosno, sve ono to napada
moe iskoris za dobijanje odreene prednos u odnosu na A. Ranjivost IKTS je inter-
no svojstvo, a odnosi se na greke sovera, hardvera i konguracije. Idenkuju se ranji-
vos, koje procenjeni izvori pretnji mogu iskoris i nane tetu imovini A i poslovnim
procesima organizacije. Postojanje ranjivos samo po sebi ne nanosi tetu; potrebno je
da postoji pretnja koja je moe iskoris. Ranjivost koja nema odgovarajuu pretnju i ne
moe se iskoris ne zahteva implementaciju kontrola zate, ali se mora prepozna i
monitorisa na promene. Ranjivost moe bi i pogreno implemenrana ili nekorektno
koriena kontrola zate, ali i vezana za atribut objekta imovine, koji nije inherentno
namenjen za korisniku upotrebu. Prema ISK/IEC 27005 uobiajena taksonomija ranji-
vos IKTS je na okruenje i infrastrukturu, hardver, sover, komunikacije, dokument-
aciju, personal, procedure i opte primenljive ranjivos.
Ranjivost informacione imovine (V) moe se odredi esmacijom vie faktora koji
uu posredno ili neposredno na vrednost ovog parametra. Kako ucaj ovih relavno
nezavisnih pojedinanih faktora na vrednost V ima znaajan stepen neodreenos, ovi
se faktori mnoe, to daje bolju aproksimaciju vrednos V:
V = D K Tr Is Za (3.3)
gde su: D detekbilnost, K korisnost, Tr trajnost, Is iskorisvost, Za zaenost.
Relevantni teinski faktori ranjivos objekata A procenjuju se, sa aspekta agenta pret-
nje, u odnosu na atribute D, K, Tr, Is i Za. Teinske faktore treba procenjiva i rauna za
svaku poznatu taku ranjivos u odnosu na ove atribute. Primer esmacije V na osnovu
pet navedenih atributa, poreanih po prioritema od najznaajnijeg (1) do najmanje
znaajnog (5), dat je u Tabeli 2.3 [67, 35].
Tabela 2.3. Primer procene relevantnih faktora ranjivos (V)
Atribu V Procena ranjivos (V)
(1) Vidljivost (D)
Verovatnoa da kompetentan agent pretnje postane svestan vrednos
informacije i da moe pristupi ovim informacijama.
(2) Korisnost (Ko)
Verovatnoa da agent pretnje uvidi korisnost informacije, da e informacija
zadovolji neku zainteresovanu (konkurenciju).
(3) Trajnost (Tr)
Datum iza koga informacija vie nee bi korisna napadau i mogunost
korienja informacije pre toga datuma.
(4) Iskorisvost (Is)
Mogunost upotrebe informacije u vreme i na nain koji su krini za
vlasnika informacije.
(5) Zaenost (Za)
Dokumentovana polika zate i ogranien pristup informacijama, koris-
nici su potpisali NDA sporazum o neotkrivanju informacija.
222
KO FOJ
Svakom odgovoru u Tabeli 2.3. pripisuje se jedan od ponuenih teinskih faktora
primenjene metrike (15; 110; nizak, srednji, visok itd.) onako kako ih procenjuju vlas-
nici objekata. Ranjivost objekata IKTS, esto je teko procenjiva pre incidenta, jer, u
suni, najee napad potvruje da li postoji ranjivost. U ovom procesu pored liste
pitanja za glavne atribute parametra ranjivos u Tabeli 2.3, obavezno treba ispita ranji-
vos (nedostatak/neadekvatnost) polike, standarda i procedura, obuke, denisanja
uloga, odgovornos, naloga i ovlaenja, veliki broj pristupnih taaka RM, mogunost
zikog pristupa serverima i dr. U procesu esmacije, treba procenjiva ranjivos po
svim glavnim atribuma za svaku taku ranjivos. Ksnovni proakvni metod za pro-
cenu ranjivos IKTS podrazumeva tesranje i ukljuuje automazovani alat za skeni-
ranje ranjivos (RS/RM), bezbednosno tesranje i evaluaciju STE (Security Tesng and
Evaluaon) i tesranje na proboj. Metod skeniranja je pouzdan za kontrolu ranjivos, ali
moe proizves lane pozive. Proces STE efekvnos kontrola zate u operavnom
okruenju, vri se u procesu serkacije i akreditacije sistema. Tesranje na proboj pro-
verava mogunost zaobilaenja kontrola zate, sa aspekta izvora pretnji (tzv. eki hak-
ing).
Idenkacija i esmacija pretnji (T) za imovinu A koriste neku od taksonomija pre-
tnji. Pretnja implicira neku akciju, koja dolazi iz okruenja sistema, koji je predmet ana-
lize, tj. neki akvni subjekt koji izvrava akciju prema IKTS. Standard ISK/IEC 27005 deli
pretnje na prirodne (E), humane (H), namerne (D) i sluajne (A). Realna pretnja je najee
kombinacija ovih izvora i dinamiki se menja u vremenu. U kontekstu i obimu analize i
procene rizika, treba idenkova sve relevantne T. Za svaku individualnu pretnju treba
idenkova izvor i proceni verovatnou realizacije frekvenciju pojave i intenzitet, a
dovoljno je koris skalu gradacije N, S, V.
Ulazne veliine za procenu pretnji treba obezbedi od vlasnika/korisnika imovine,
odeljenja za upravljanje ljudskim resursima, izvrnih menadera, IKT i specijalista, zate
i dr. kao i iz staskih podataka i taksonomija pretnji. Upotreba taksonomije pretnji je
korisna, ali treba uzima u obzir dinamiku promena kombinovanih pretnji, zbog pro-
mena poslovanja, tehnologija, okruenja, malicioznih kodova itd. Primeri taksonomije
bezbednosnih pretnji stabla pretnji i skala gradacije za procenu pretnji, mogu se nai
u standardima ISK/IEC 27005 i NIST SP 800-35.
Esmacija vrednos parametra T u fazi analize rizika, daje najbolju aproksimaciju za
procenu rizika, kao kombinacija dinamiki promenljivih pretnji T:
T=T1+T2+...+T8= T (3.4)
Za analizu rizika prihvatljiva je taksonomija kombinovanih pretnji ( T ) u odnosu na:
(1) posledice ucaja (tetne t, nekodljive N), (2) izvore nastanka (iznutra Un,
spolja Va) i (3) nain napada (soscirane So, nesoscirane Ns), koja daje uku-
pno 2
3
=8 razliih kombinacija pretnji. Primeri za svaku od osam kombinovanih pova
pretnje da su u Tabeli 2.4.
223
UJJ O FOJ
Tabela 2.4. Primeri pova kombinovanih pretnji
Pretnja T Opis / primer
tSoUn Akvnos nezadovoljnog sistem administratora
tNsUn, Akvnos nezadovoljnog zaposlenog (ne-administratora)
NSoUn
Akvnos znaeljnog administratora (STE izvetaj poslednjih ranjivos)
Sluajno oteenje od strane administratora (brisanje datoteke korisnika)
NNsUn
Akvnos znaeljnog korisnika (pogaanje lozinke)
Sluajno oteenje od strane znaeljnog korisnika (brisanje datoteke)
tSoVa Industrijska pijunaa; akvnos vetog osvetoljubivog napadaa
tNsVa
Akvnos napadaa ogranienih sposobnos, ali jako zainteresovanih za specine
objekte (e-mail spam ili trial-and-error napadi)
NSoVa Akvnos vetog, odlunog i znaeljnog korisnika (ovek vs. maina )
NNsVa
Akvnos znaeljnog korisnika (ta/kako ovo radi?)
Nenamerna akvnost koja se moe interprera kao maliciozna
Proraun teinskih faktora za verovatnou pojave bezbednosnog incidenta potrebno
je izvri za svaki objekat A. Iako svaka organizacija bira sama svoj sistem teinskih fak-
tora (ponderisanja), mogua je primena sledeih kriterijuma (Tabela 2.5).
Tabela 2.5. Proraun teinskih faktora za verovatnou pojave incidenta
Nivo
Teinski
faktor
Denicija
Vrlo visok 1 Vrlo visoka verovatnoa dogaaja T, ako nema korekvne akcije
Visok 2 Visoka verovatnoa dogaaja T, ako nema korekvne akcije
Srednji 3 Pretnja ima umerenu verovatnou dogaanja
Nizak 4 Smatra se da je rizik od dogaanja ove pretnje vrlo nizak
Vrlo nizak 5 Vrlo niska verovatnoa da e se ovaj incident dogodi
Proraun teinskih faktora intenziteta potencijalnih pretnji potrebno je izvri za
svaki objekat A. Iako svaka organizacija bira sama sistem ponderisanja, za ponderisanje
intenziteta potencijalnih T korisni su sledei kriterijumi (Tabela 2.6).
224
KO FOJ
Tabela 2.6. Kriterijumi za ponderisanje intenziteta potencijalnih pretnji
Nivo ucaja
Teinski
faktor
Denicija/posledice
Eliminie 1
Incident potpuno unitava objekat A i organizacija se teko moe
oporavi; inciden su teki za kontrolu i zatu.
Razoran 2
Inciden mogu bi razorni i bez neposrednog i adekvatnog odgovora
potpuno uni objekte A; dovode do znaajnih nansijskih gubitaka
i gubitka javnog ugleda.
Krian 3
Inciden od kojih se organizacija moe oporavi dobrim upravlja-
njem incidentom i implementacijom odgovarajuih kontrola zate;
dovode do srednjih gubitaka i neprijatnos.
Kon-
trolisan
4
Ucaj incidenta je kratkoroan i moe se kontrolisa; ucaj mogu bit
minorna neprijatnost i minimalni trokovi.
Irirajui 5
Inciden su obino beznaajni i izazivaju samo lokalnu iritaciju; mera-
ma zate treba ih izbei ili kontrolisa.
Generalno, teinske faktore izvora T treba kategorisa od najveih do najmanjih, npr.
pretnje od ljudi su tee od prirodnih dogaaja. Proraun teinskih faktora frekvencije
pojave T, potrebno je izvri za svaki objekat A. Iako svaka organizacija bira sistem pon-
derisanja, korisni su sledei kriterijumi (Tabela 2.7):
Tabela 2.7. Kriterijumi za odreivanje teinskih faktora frekvencije incidenta
Nivo
Teinski
faktor
Denicija
Vrlo visok 1 &rekvencija incidenta je vrlo visoka i moe bi razoran.
Visok 2 &rekvencija incidenta je visoka i moe se ponovi.
Srednji 3 Incident se moe esto dogodi, ali normalno nije predvidiv.
Nizak 4
Incident ima nisku frekvenciju i nije ponovljiv, ne bi trebalo bi vie od
jednog incidenta u jednom radnom ciklusu.
Vrlo nizak 5 Kvaj incident se smatra vrlo retkim i periodinim.
Za proraun se mogu koris i staski elemen za alternavnu procenu verovatnoe
incidenta za najvei broj pova poznah potencijalnih T, mereni verovatnoom od 0 1
ili numerikim, kvalitavnim teinskim faktorima od 0 5.
Esmacija ucaja (Ut) je mera efekata i negavnih posledica, koje na imovinu A/
poslovanje, moe izazva neki napad. Ucaj je posledica verovatnoe da e neka
pretnja/e iskoris neku/e ranjivost/i i nane tetu imovini A, a moe se ostvari samo
ako postoji [49]:
225
UJJ O FOJ
izvor sluajne pretnje: dogaaj/incident unutar perimetra bezbednosnog rizika i
ranjivos, koju ta pretnja moe iskoris i/ili
izvor namerne pretnje: smulacija napadaa (movacija, odlunost, resursi, spo-
sobnost, prilika), atrakvnost A i V koju T moe iskoris.
Standard ISK/IEC 27005 razmatra samo operavne, a ne i potencijalne posledice
ucaja. Operavni ucaj moe bi direktan ili indirektan. Primer direktnog ucaja su
troakovi za zamenu izgubljene imovine. Indirektan ucaj su trokovi prekida operacija,
potencijalne zloupotrebe informacija, zbog proboja sistema zate, povrede normava
i ekog kodeksa poslovanja itd.
Za kvantavnu ili kvalitavnu esmaciju ucaja odreuje se teinski faktor intenzite-
ta Ut na pojedinane objekte A. Glavna prednost kvalitavne analize Ut je u odreivanju
prioritetnih faktora rizika i zona ranjivos, koje neposredno treba otklanja. Nedostatak
kvalitavne analize Ut rizika je u tome to ne obezbeuje specine kvantavne mere
i procenu odnosa trokovi-korist (cost-benet) preporuenih kontrola zate. Glavna
prednost kvantavnih metoda analize Ut rizika je, to obezbeuje merenje Ut i cost
benet analizu preporuenih kontrola zate. Nedostatak oba metoda je neodreenost
i esta potreba kvalitavne interpretacije rezultata, to zavisi od izbora opsega faktora
ponderisanja.
Primer kvalitavne procene i odreivanja teinskih faktora ucaja rizika, koji ukljuuje
komponente vrednos objekata A, intenziteta pretnje Ti, frekvenciju pretnje Tf i
verovatnou pretnje Tv prikazan je u Tabeli 2.8.
Tabela 2.8. Komponente za odreivanje teinskih faktora ucaja rizika
Komponente ucaja rizika (Ut) Teinski faktori
Vrednost objekta A 1 5 (1 je najvei)
Intenzitet potencijalne pretnje Ti 1 5 (1 je najvei)
&rekvencija potencijalne pretnje Tf 1 5 (1 je najvei)
Verovatnoa pretnje Tv 1 5 (1 je najvei)
Za proraun ukupnog teinskog faktora Ut rizika, potrebno je mnoi komponente
Ut jednu sa drugom, da bi se smanjio efekat neodreenos na tanost rezultata. Ako se
uzme u obzir da frekvencija i intenzitet pretnji nisu relevantni, ako se pretnja ne dogodi,
ucaj se priblino odreuje kao faktor mnoenja vrednos imovine A i verovatnoe
dogaaja pretnji Tv:
Ut = A Ti Tf Tv A Tv (3.5)
226
KO FOJ
Na slian nain se preostali relavni rizik moe odredi pojednostavljenom relaci-
jom:
Rrp = A Pu
t
(3.6)
gde je A vrednost imovine, a Pu
t
verovatnoa ucaja ili da e T iskoris V.
U ovoj esmaciji, to je manji rezultat, to je vei ucaj faktora rizika. Najvei ucaj
faktora rizika u primeru iz T. 2.9 je 1, a najmanji 625. Glavni menader odreuje kriteri-
jume prihvatljivos rizika i prioritete ublaavanja, npr. svaki R< 50 - zahteva trenutno
ispivanje, 1 < R < 200 = V, 200 < R < 400 = S i 400 < R < 625 = N rizik.
Faza evaluacije faktora rizika je procena rizika na bazi strogo utvrenih kriterijuma,
predenisanih u fazi denisanja parametara za upravljanje rizikom. Kbuhvata akvnos
kao to su: priprema za izradu plana tretmana; razmatranje predenisanih kriteriju-
ma za evaluaciju, ukljuujui bezbednosne kriterijume; znaaj poslovnog procesa kojeg
podrava A; zahtevi menadmenta za tretman; zahtevi za preduzimanje hitnih akcija;
poreenje nivoa esmacije faktora rizika sa predenisanim kriterijumima za evaluaciju
(npr. rezultama prethodne procene rizika) i rangiranje faktora rizika po prioritetu za
tretman (ublaavanje).
U ovoj fazi faktore rizika procenjene kao N, treba smatra prihvatljivim i mogue je
da menadment/vlasnik sistema ne zahteva tretman ovih faktora rizika. &aktore rizika
procenjene kao S i V treba trera, pri emu faktore sa V prioritetno.
Ukupan relavni rizik Rr za imovinu A, odreuje se na bazi evaluacije faktora rizika,
kojih za neku prosenu organizaciju, zavisno od dubine procene faktora rizika, kojih
moe bi i na hiljade. Grupiu se na prihvatljive (P) i neprihvatljive (N) faktore rizika.
Kriterijume za P i N faktore rizika, predenisane u fazi denisanja konteksta za procenu
rizika, odreuje menadment, koji potpisivanjem SOA dokumenta denivno prihvata
predloene kontrole zate za tretman rizika i preostali relavni rizik (Rpr). Kekivani
izlazi iz faze evaluacije faktora rizika su priorite za tretman rizika: lista prioriteta faktora
neprihvatljivog rizika i lista prihvatljivih faktora rizika.
Esmacija faktora preostalog rizika (Rrp), koji ostaje posle implementacije novih
ili poboljanih kontrola zate, znai da ni jedan IKTS nije sasvim osloboen rizika i da
sve implemenrane kontrole ne eliminiu u potpunos odnosne faktore rizika. Imple-
mentacija novih i poboljanih kontrola moe smanji rizik eliminisanjem nekih ranjivo-
s i smanjenjem negavnog ucaja. Kako je rizik idenkovan prema pu specinih
objekata i ranjivos, sistem e ima jednu vrednost rizika po jednoj taki ranjivos,
koju pretnja iskoris, a svaka ranjivost e ima jednu vrednost rizika po objektu na koji
ue. Ne postoji egzaktna matemaka relacija za kvantavan proraun Rrp za A u
sluaju da T iskoriste V, sa implemenranim kontrolama zate (KZ) za ublaavanje
rizika. Tako proces procene rizika daje dva rezultata preostali relavni rizik bez uea
kontrola zate (Rrp) i prihvaeni preostali rizik sa kontrolama zate (Rpp). Nivo Rpp se
priblino rauna iz jednaine [35, 67]:
227
UJJ O FOJ
Rpp= (Rrp/Kz) = (A Pu
t
)/Kz (3.7)
Ucaj pretnje na sistem raste sa porastom vrednos A, T i V i direktno poveava
Rpp, dok KZ smanjuju nivo Rpp. Model prorauna Rpp dat je na Sl. 2.7.
Sl. 2.7. Implemenrane kontrole zate i preostali rizik Rrp
Posle implementacije kontrola zate za ublaavanje rizika, efekvnost uvoenja
kontrola zate (Ekz) moe se prorauna formulom:
Ekz= (RprRpp)/Rpr (3.8)
Detaljna procena faktora rizika je kamen temeljac razvoja rentabilnog programa i pla-
na zate. U plan zate korisno je ubaci kvantavne parametre ukupne trokove
zate, koji na preostalom nivou rizika (Rpr) treba da budu opmalni, odnosno, jednaki
ili manji od procene ukupno oekivanih godinjih gubitaka OGG, koji mogu nasta ako
se ne primene predviene mere zate (KZ). OGG treba da budu manji od Rpr, izraenog
u novanoj vrednos. Kvakva vrednost Rpr, najee se predlae menadmentu, kao
vrednost Rpp kod potpisivanja SKA dokumenta. Kako je vrednost OGG jednaka vred-
nos Pu
t
izraenog u novanim jedinicama, OGG se mogu proceni relacijom [67]:
OGG = Pu
t
x Ar (3.9)
gde je Pu
t
verovatnoa da e se neka pretnja materijalizova u datoj godini i uca na imovinu
A, a Ar relavna vrednost imovine A na koju se pretnja odnosi.
228
KO FOJ
Primer: LAN ima 20 PC po ceni od 540 Eu po komadu. Oekuju se po jedan potpuni prekid
rada, upad u sistem i kraa podataka godinje (Pt=1). Primenom formule (3.9) bie: OGG=
1x (20 x 540) = 10.800 Eu, pa su sve primenjene kontrole zate za spreavanje ove procen-
jene tete rentabilne, ako im cena ne prelazi OGG.
U praksi zate retko se koris kompletna formalna metodologija za analizu i procenu
rizika. Razvijeni su i skraeni metodi za analizi rizika (KCTAVE, BAR), koji su prakniji i
bre dovode do prihvatljivih rezultata [9, 46,55].
2.2.3.3. Metodi procena ukupnog bezbednosnog rizika
Rezulta procene rizika koriste se za izbor kontrola za tretman rizika i dokumentuju u
polici zate i planu tretmana rizika. Generalno, za idenkaciju rizika, u fazi procene,
mogu se koris razliite tehnike: brainstorming ili brza analiza rizika (BAR); upitnik
ili izjava o osetljivos (IoO); idenkovanje poslovnih procesa i opis internih/eksternih
faktora koji mogu uca na ove procese; industrijski benchmarking; analiza scenarija
napada (incidenata); generika procena rizika; ispivanje incidenata; revizija (audit)
sistema zate, studija HAZOP (hazard & operavnost) itd.
Za generiku procenu opteg operavnog rizika razvijene se tri kljune metodologije:
(1) procene rizika odozdo nagore, (2) sveobuhvatne analize i procene rizika i (3) procene
rizika odozgo nadole.
Procena rizika odozdo nagore ukljuuje istraivanje trita, predvianje trenda,
istraivanje i razvoj i analizu ucaja na poslovanje. Sveobuhvatna analiza rizika ukljuuje
brojne faze i akvnos kao to su: modelovanje zavisnos, SWKT analiza (snage, sla-
bos, prilike, pretnje), analiza drveta pretnji, planiranje konnuiteta poslovanja (BCP),
BPEST (biznis, polika, ekonomska, socijalna, tehnoloka) analiza, modelovanje realnih
opcija, odluivanje na bazi stanja rizika i faktora neodreenos, staske implikacije,
merenja glavnog trenda i faktora neodreenos, PESTLE (Poliko ekonomsko socijal-
no, tehniko i legalno) okruenje i dr. Procena rizika odozgo nadole ukljuuje tri glavne
tehnike: analizu pretnji, analizu drveta greaka i &MEA (&ailure Mode&Eect Analysis)
analizu [24].
Standard ISK/IEC 27005 diferencira i opisuje eri osnovna metoda za esmaciju
ukupnog rizika, koja se u osnovi zasnivaju na generikoj metodologiji, ali imaju razliite
fokuse na parametre rizika i primenjuju razliite vrste esmacije [24]:
1. metod matrice rizika sa predenisanim vrednosma (ISO/IEC 13335-3);
2. metod merenja rizika rangiranjem T prema rezultama procene rizika;
3. metod procene verovatnoe ucaja i moguih posledica i
4. metod disnkcije izmeu prihvatljivog i neprihvatljivog rizika.
229
UJJ O FOJ
Izlaz procene rizika je Izjava o primenljivos kontrola zate (SOA) za ublaavanje rizika
do prihvatljivog nivoa. Komercijalno su dostupne brojni interakvni metodi i ala za pro-
cenu bezbednosnog rizika za informacionu imovinu. CRAMM metod je razvila engleska
vladina agencija i koris ga vie od 40 drava na najviem nivou. Metod je skup, kom-
pleksan za primenu, ali detaljan i pouzdan [9]. KCTAVE metod procenjuje faktore rizika
za krine objekte A i poslovanje organizacije. Metod je samonavodei, sveobuhvatan,
sistemaan i adapvan i ne zahteva specijaliska znanja [46]. Za inicijalnu procenu
rizika, dok organizacija nema kompleran inventar A, koristan je metod brze analize rizika
(BAR), koji zahteva akvno angaovanje menadmenta i prakara poslovnih procesa
[55].
2.3. REZIME
Upravljanje rizikom je proakvno upravljanje sistemom zate. Procena rizika je
metod za planiranje zate. Stohaska priroda pretnji, ranjivos i ucaja oteava
korienje analikih metoda u procesu analize i procene rizika. Drugi problem su kvali-
tavna i kvantavna idenkacija i vrednovanje objekata imovine A, gde su podaci i
informacije najznaajnije vrednos. Vrednost imovine A moe se dobi samo indirekt-
nim putem korienjem faktora ucaja pretnji na ranjive take sistema. Nemogue je
proceni ove efekte bez specinog scenarija, a jo tee napravi evaluaciju materijal-
nih trokova gubitaka.
Dinamika dimenzija analize rizika je vana, jer se pretnje i iskorisve ranjivos
uvek menjaju. Kvo znai da se i nivoi zate moraju menja tako da kompenzuju ove
promene. &aktor promenljivos se unosi u unutranje i spoljno okruenje, pa je za upra-
vljanje promenama potrebno neprekidno skeniranje specinih dogaaja u okruenju.
Promene u sistemu mogu izazva interni dogaaji (nove aplikacije, novi zaposleni i sl.) ili
promene u ivotnom ciklusu sistema (revizija zahteva i dizajna, implementacija sistema,
monitoring i periodina kontrola itd.).
Brojni metodi kvantavne analize rizika imaju prednos, jer svode svaku analizu
na novanu vrednost. Kvantavna analiza rizika ima problem memorisanja i akvizici-
je podataka. Za zatu nacionalnih interesa ili konkurentnos na tritu, ee se pri-
menjuju kvalitavni metodi procene gubitaka umesto novanih vrednos. Generika
metodologija procene rizika ukljuuje parametre vrednos imovine (A), ranjivos (V),
pretnji (T), ucaja (Ut) ili da e pretnje iskoris ranjivos i nane tetu imovini i po-
slovnim procesima. &aktori neodreenos koje u procenu rizika unosi stohaska priro-
da T i V, kompenzuju se mnoenjem parametara rizika, ime se dobije vei procenjeni
rizik i implemenra bolja zata.
Procenu rizika mogu pomoi brojne taksonomije T i V uz obavezno prilagoavanje
kontekstu i okruenju. Na principima generike metodologije, razvijena su eri metoda
sa razliim teima u proceni ukupnog rizika (ISK/IEC 27005): metod matrice rizika sa
230
KO FOJ
predenisanim vrednosma (ISO/IEC 13335-3), metod merenja rizika rangiranjem pret-
nji prema rezultama procene rizika, metod procene verovatnoe ucaja i moguih po-
sledica i metod disnkcije izmeu prihvatljivog i neprihvatljivog rizika. Takoe, na raspo-
laganju su brojni pomoni, interakvni ala za procenu bezbednosnog rizika, kao to su
aplikacije pa CKBRA, HESTIA, RA2 itd. Dobar interakvni, kvalitavni metod za analizu
rizika je CRAMM, kojeg koris vie od 40 zemalja u svetu za dravne potrebe. Primena
metoda nije jednostavna i zahteva dobru obuku analiara. Metod KCTAVE je evaluacija
faktora rizika za krine objekte imovine organizacije. Metod je samonavodei, sveo-
buhvatan, sistemaan i prilagoava se promenama realne situacije. Kmoguava svim
zaposlenim na svim nivoima organizacije da rade zajedno na idenkaciji i razumevanju
faktora rizika i da donesu pravilne odluke za smanjenje rizika. Metod brze analize rizika
(BAR) omoguava brzu i efekvnu analizu glavnih faktora rizika, sa ukljuivanjem kapac-
iteta organizacije i bez potrebe posebnog angaovanja specijalista za analizu rizika.
Agent pretnje: ente (lice, organizacija, pro-
gram) sposobni da namerno ili nenamerno
pokrenu neki dogaaj, iskoriste ranjivos
sistema i nanesu tetu.
Analiza rizika: analiza vrednos imovine, ranji-
vos sistema, potencijalnih pretnji, i verova-
tnoe ucaja na objekte sistema i poslove or-
ganizacije.
Napad: realizovana pretnja koja ima potencijal
da kompromituje sistem zate.
OGG: oekivani godinji gubici koji mogu nas-
ta, ako se sistem zate ne primeni.
Posledica: rezultat realizacije ucaja agenta
pretnje, koji se izraava uglavnom u neeljenim
promenama stanja sistema IKTS zate; sinon-
imi: ucaj i teta.
Procena pretnje: analiza, idenkacija, es-
macija i evaluacija kapaciteta agenta pretnje
(resursa, movacije, namere, sposobnos i
prilike).
Procena rizika: analiza verovatnoe da e ra-
njivos sistema bi iskoriene od potenci-
jalnih pretnji i da e nastale posledice nane
tetu
Ranjivost: karakteriska sistema (kvar, ljudski
faktori) koja doputa da se pretnja realizuje.
Resursi agenta pretnje: oprema, novac, znan-
je, vene, movacija itd. koji su na raspolag-
anju agentu pretnje da inicira napad.
Rizik: mera verovatnoe da e posledice ne-
kog dogaaja kompromitova objekte IKTS i
nane tetu organizaciji.
Scenario pretnje: specian agent pretnje koji
preduzima specian p napada u pokuaju
da kompromituje (na jedan ili vie naina) je-
dan ili vie objekata IKTS.
Sredstva napada: mehanizam/medijum kojeg
koris agent pretnje za napad.
Ucaj: mera stepena oteenja/promene uz-
rokovane nekom posledicom napada.
Vrednost objekata informacione imovine:
mera ili izjava o znaaju (osetljivos) nekih
objekata IKTS (ili alternavno cene), ako su
is kompromitovani; moe se meri kvan-
tavnim/kvalitavnim metodama; znaaj ili
cena su zavisni od potreba organizacije pa
vrednost nije nuno objekvan pojam.
231
UJJ O FOJ
1. Generiki okvir upravljanja rizikom sadri
sledee korake:
a. kategorizacija IKTS, planiranje, imple-
mentacija i procena kontrola zate,
akreditacija IKTS, nadzor i revizija
b. kategorizacija IKTS, izbor, implement-
acija, evaluacija, serkacija i revizija
kontrola zate
c. bezbednosna kategorizacija IKTS, iz-
bor, implementacija i procena kontrola
zate, akreditacija IKTS, nadzor i kon-
trola
2. Kp model za procenu rizika sadri sledee
konceptualne oblas:
a. plan upravljanja rizikom
b. idenkacija ranjivos
c. analiza i procena rizika
d. neodreenost koja interakvno deluje
sa faktorima procene rizika
e. izbor i implementacijU kontrola zate
3. Hijerarhijski pristup upravljanju rizikom
ukljuuje sledee nivoe:
a. uprave, poslovnih procesa, IKTS
b. organizacije, poslovnih procesa, IKTS
c. organizacije, IKTS, sistema zate
d. organizacije, poslovnih procesa, IKTS,
sistema zate
4. Generiki metod kvalitavne procene bez-
bednosnog rizika procenjuje vrednos:
a. informacione imovine (A), napada (N),
konguracije (K) i ucaja (U)
b. informacione imovine (A), pretnji (T),
ranjivos (V) i ucaj (U)
c. imovine IKTS (A), pretnji (T), ranjivos
sovera (V), rizika (R) i efekvnos kon-
trola zate (Ekz)
d. informacione imovine (A), pretnji (T),
ranjivos (V), ucaj (U) i rizika (R)
5. Taksonomija rizika je mogua u odnosu na vie kriterijuma. Poveite kriterijume sa povima
(atributa, faktora rizika, gubitaka):
Kriterijum Tip (atribut rizika, gubitaka)
1. oblast izlaganja
a. kvantavni (OGG)
b. okruenje
c. tehnologija
d. kvalitavni (nizak, srednji, visok; 1,2,3,4,5)
e. operavni (hazardni, nansijski)
f. strateki (rizik za ugled)
g. poslovni procesi
h. ljudski faktor
2. izvor rizika
3. ucaj
6. Ublaavanje rizika od napada pomou tehnikih sredstava moe bi ekasno u odreenim us-
lovima. Poveite te uslove sa merama zate:
Uslovi napada Mera zate
1. Napad
postoji
2. Iskorisv
Napad (pos-
toji V)
3. Trokovi na-
pada manji
od dobi
4. Gubitak je
suvie velik
a. primeni principe projektovanja, arhitekture, netehnike i tehnike zate
za ogranienje nivoa napada, a me i smanjenje gubitaka, npr. izborom ne-
tehnikih mera kao to je ograniavanje obima osetljivih procesiranih infor-
macija
b. primeni zatu da se poveaju trokovi napada ili znaajno smanji potenci-
jalnu dobit napadaa, npr. izborom ne-tehnikih mera kao to je ograniavanje
obima osetljivih procesiranih informacija
c. primeni slojevitu zatu i projektova arhitekturu sistema da se sprei
iskorienje ranjivos
d. implemenra pouzdane tehnike za smanjenje verovatnoe neeljenog napada
232
KO FOJ
7. Navedite osnovne korake formalne
metodologije za uspostavljanje konteksta za
procenu i analizu rizika:
a. denisanje osnovnih parametara za up-
ravljanje rizikom
b. denisanje obima i granica analize i pro-
cene rizika
c. denisanje programa zate
d. uspostavljanje i organizacija ma za pro-
cenu rizika
e. izrada plana i polike zate
f. uspostavljanje strukture i procesa za
analizu i procenu rizika
8. Kriterijumi za prihvatanje rizika se deniu u
fazi:
a. denisanja obima i granica analize i pro-
cene rizika
b. denisanja osnovnih parametara za up-
ravljanje rizikom
c. izrade polike zate
d. uspostavljanja i organizacija ma za pro-
cenu rizika
e. uspostavljanja strukture i procesa za
analizu i procenu rizika
9. Navedite opte metode primene procesa
tretmana rizika:
a. metod matrice rizika sa predenisanim
vrednosma (ISK/IEC 133353)
b. metod procene rizika odozgo nadole
c. metod procene verovatnoe ucaja i
moguih posledica
d. metod procene verovatnoe dogaaja
pretnje
e. metod disnkcije izmeu prihvatljivog i
neprihvatljivog rizika
10. Navedite redosled izvravanja glavnih ko-
raka procesa analize i procene rizika:
a. procena V, procena A, procena T, pro-
cena Rr, implementacija k/z, izbor k/z za
ublaavanje rizika, prihvatanje Rrp
b. procena A, procena V, procena T, pro-
cena Rr, izbor k/z za ublaavanje rizika,
implementacija k/z, prihvatanje Rrp
c. procena T, procena V, procena A, izbor
k/z za ublaavanje rizika, implementaci-
ja k/z, prihvatanje Rrp
11. Pareto princip u procesu upravljanja rizikom
je poznat kao:
a. pravilo 60:40
b. pravilo 50:50
c. pravilo 80:20
d. pravilo 70:30
12. &ormula za proraun preostalog prih-
vatljivog rizikaRpp, priblino glasi:
a. Rpp= ((AxVx T)/Kz) x Ut
b. Rpp= (AxVx T) x Ut
c. Rpp= ((AxVx T)/Kz)
13. U proceni rizika za odreivanje vrednos A
obino je odgovoran i mora uestvova:
a. glavni menader organizacije
b. specijalista zate
c. pravnik organizacije
d. digitalni forenziar
14. Inventar imovine i taksonomije relevantnih
pretnji i ranjivos su izlazi iz procesa:
a. uspostavljanja okvira za ISMS
b. idenkovanja rizika
c. esmacije rizika
d. analize rizika
e. evaluacije rizika
f. ublaavanja (delovanja na) rizika
g. prihvatanja rizika
15. &aktori neodreenos rizika se ukljuuju u
fazi:
a. uspostavljanja okvira za ISMS
b. idenkovanja rizika
c. esmacije rizika
d. analize rizika
e. evaluacije rizika
f. ublaavanja (tretmana) rizika
g. prihvatanja rizika
16. U fazi procene ranjivos (V), tesranje na
proboj:
a. proverava ranjivost mrenih programa
233
UJJ O FOJ
b. proverava mogunost zaobilaenja kon-
trola zate sa aspekta izvora napada
c. proverava ranjivost TCP/IP protokola
d. naziva se hakerski napad
e. naziva se eki haking
17. Standard ISK/IEC 27005 deli pretnje na:
a. vanredne dogaaje (VD), ljudske greke
(HG), kompjuterske incidente (KI) i hak-
erske napade (HN)
b. prirodne (E), humane (H), namerne (D),
sluajne (A) i kombinovane (K)
c. prirodne (P), greke (G) sluajne (S) i na-
merne (N)
18. &aza evaluacije faktora rizika obuhvata
sledee akvnos:
a. priprema za izradu plana tretmana rizika
b. razmatranje kriterijuma za evaluaciju
c. rangiranje kontrola zate za tretman
rizika
d. znaaj poslovnog procesa kojeg
podrava imovina A
e. rangiranje faktora rizika po prioritetu za
tretman rizika
f. znaaj procesa zate imovine A
g. poreenje nivoa esmacije faktora
rizika sa predenisanim kriterijumima
za evaluaciju
19. Standard ISK/IEC 27001 klasikuje informa-
cionu imovinu u:
a. informacije, podatke, hardver, sover,
mrena infrastruktura
b. informacije, raunarske sisteme,
raunarske mree, korisnike (ljude)
c. istu informacionu imovinu, ziku
imovinu, humanu imovinu
20. Najznaajniji izlaz iz procene rizika je doku-
ment:
a. plan tretmana rizika
b. lista prioriteta prihvatljivog rizika
c. lista prioriteta neprihvatljivog rizika
d. izjava o primenljivos kontrola zate
(SKA)
234
KO FOJ
3.
UPRAVLJANJE PROGRAMOM
ZATITE INFORMACIJA
3.1. UVOD
Program zate organizacije obuhvata sve to neka organizacija ini da proizvede,
primeni, odrava i unapredi bezbednost IKTS. Metodoloka osnova za razvoj i uspostav-
ljanje programa zate obino je u formi dokumentacije (zakoni, standardi, plan, poli-
ka itd.). Uspeh programa zate zavisi od tri krina faktora uspeha procene rizika,
dokumentacije i korisnike prihvatljivos. Program zate treba da sadri najmanje poli-
ku, procedure, plan i uputstva za zatu, kao i izjavu kojom se obavezuju odgovorna
lica na izradu svih internih dokumenata zate.
Polika zate uspostavlja smernice, obezbeuje resurse za zatu i treba da ima
standardnu strukturu. Kljuni je dokument programa zate i sadri bezbednosne ciljeve,
izraene kroz skup izjava o tome TA treba radi u oblas zate. Procedure zate de-
taljno opisuju i dokumentuju procese zate i deniu KAKO neto treba uradi u skladu
sa polikom. Plan zate detaljno specicira tehniko reenje i proceduralne kontrole
sistema zate, a uputstva objanjavaju specine akvnos u procesima zate. Na-
jbitniji zahtevi za izradu, korisniku prihvatljivost i nametanje polike i procedura zate
su: jasno razumevanje vizije i ciljeva zate od strane menadera; ukljuivanje specijalis-
ta zate, informaara i to je mogue vie predstavnika organizacionih jedinica; jasna
arkulacija polike i procedura na koncizan i prakan nain i da reektuju potrebe
organizacije. Menadment obezbeuje implementaciju i podse sprovoenje polike
zate, koja se moe izradi u okviru jedinstvenog dokumenta ili kao skup samostalnih
dokumenta (polika) na razliim nivoima.
235
UJJ O FOJ
3.2. RAZVOJ I STRUKTURA PROGRAMA, PLANA I POLITIKE ZATITE
3.2.1. Struktura programske politike zatite
Program zate se obino dokumentuje kroz kratku Programsku poliku zate IKTS,
koja uspostavlja smernice za zatu, obezbeuje resurse za implementaciju i treba da
obuhva najmanje sledee komponente [55, 35, 41, 44, 55, 51]:
smernice menadmenta, koje ukazuju na pravac poslovanja, ciljeve zate i razlo-
ge uspostavljanja programa za zatu CIA informacija;
eksplicitnu podrku menadmenta za sve ciljeve zate informacija sa jasno
odreenim objekma i granicama zate informacione imovine;
odgovornost menadmenta, kojom se eksplicitno ise strateka odluka za uprav-
ljanje programom zate;
odobrenje glavnog menadera sa zahtevom za optu usaglaenost programa
zate sa normavima i specinu prakse sa polikom zate;
obavezu nametanja polike i sankcionisanja za svaku neusaglaenost;
potpunu komunikaciju svih zaposlenih sa menadmentom.
Program zata treba da sadri izjavu kojom se obavezuju odgovorna lica na izradu
dokumenata zate (plan, poliku,
procedure i uputstva zate [1, 6, 63].
3.2.2. Razvoj i struktura
plana zatite
Neki standardi (npr. NIST) plan
zate, koji implemenra polike i
procedure, smatraju kljunim doku-
mentom programa zate. Generiki
proces razvoja plana zate obuhva-
ta pet osnovnih faza [44]: iniciranje
projekta, razvoj polike zate, kon-
sultacije i odobrenja, razvoj sves
i obuka i distribucija polike zate
(Sl. 3.1).
Takoe, neki autori meaju pro-
gramsku poliku i plan zate. Da
bi se to izbeglo, pod planom zate
treba podrazumeva plan projekta
Sl. 3.1. Generiki proces razvoja plana zate
236
KO FOJ
za razvoj i implementaciju polike i procedura zate. Plan zate mora bi usaglaen
sa zakonskim propisima, poslovnim ciljevima, planom poslovanja i razvoja organizacije,
polikom i procedurama zate i sa arhitekturom IKTS. Ksnovna struktura plana zate
moe ima generiku formu pinog poslovnog plana, ali svaki mora bi specian za
poslovne procese, kulturu rada, ivotni ciklus informacija, zakonske i ugovorne obaveze
i raspoloivu tehnologiju za zatu. Uzorci za izradu plana zate su brojni (Internet, sta-
ndardi zate), ali se konkretan plan zate smatra autorskim delom, predstavlja pover-
ljiv dokument i retko se moe nai objavljen. Generika struktura svakog plana zate
treba da sadri dve kljune komponente: uloge i odgovornos i upravljanje promenama
- plan kontrola ili plan tehnikog reenja zate [1, 44].
3.2.2.1. Uloge i odgovornosti
Uloge i odgovornos u sistemu zate, deniu se na bazi GAISP principa zate i
pripisuju glavnom menaderu, izvrnim menaderima i svim zaposlenim [41, 44, 1].
Uloga glavnog menadera je da obezbedi superviziju, denie i upravlja glavnim
smernicama programske i ISMS polike zate, nadzire i kontrolie realizaciju plana
zate. U skladu sa zakonima za zate informacija u veini drava, dve glavne odgovor-
nos su uvoenje standarda najbolje prakse zate i angaovanje odgovornih, strunih
i iskusnih lica na poslovima zate. Kva odgovornost mora bi eksplicitno izraena u
programskoj polici zate.
Uloga glavnog menadera ukljuuje sprovoenje GAISP principa i najbolje prakse
zate i moe se denisa kroz deset preporuka, i to za:
1. program zate, gde eksplicitno ispoljava liderstvo, nansijski obezbeuje, kreira,
namee i regularno kontrolie sve akvnos;
2. poliku zate, gde obezbeuje razvoj, implementaciju, kontrolu i primenu poli-
ke u skladu sa standardima, principima i najboljom praksom zate;
3. upravljanje rizikom, kroz redovnu reviziju procene, sa ciljem da idenkuje
krine objekte, pretnje i ranjivos sistema i odobri plan ublaavanja rizika;
4. projektovanje arhitekture sistema zate tako to obezbedi, da arhitektura
sistema zate podrava poslovne ciljeve organizacije;
5. korisnike sistema, gde su odgovorni za obuku i sve akcije legalnih uesnika i imple-
mentaciju polike i procedura zate;
6. funkcionalnu pouzdanost IKTS, kroz uspostavljanje niza kontrola pristupa objek-
ma IKTS i regularnu verikaciju integriteta programa;
7. autenkaciju i autorizaciju, sa resursima za implementaciju i odravanje meha-
nizama za autenkaciju i autorizaciju pristupa objekma IKTS;
8. nadzor, kontrolu i reviziju gde uspostavlja kapacitete za nadzor, kontrolu i reviziju
i alate za merenje usklaenos sa polikom zate;
237
UJJ O FOJ
9. ziku i personalnu zatu, gde obezbeuje kontrolu zikog pristupa objekma
IKTS i bezbednosnu proveru zaposlenih u za;
10. planiranje konnuiteta poslovanja i oporavka sistema, gde obezbeuje razvoj i
verikaciju plana, periodino i regularno tesranje i ekasnu primenu.
3.2.2.2. Upravljanje promenama
Upravljanje promenama denie se kao sistemsko uvoenje promena u opera-
vnom okruenju, tehnologijama, programima, hardveru, konguraciji RS/RM, radnom
prostoru, zaposlenom personalu, runskim poslovima, tehnikim operacijama itd. Za up-
ravljanje promenama primenjuje se opta procedura sa sledeom strukturom: uvoenje
promena, kataloka registracija, planiranje redosleda, implementacija i izvetavanje o
izvedenim promenama. Za svaku komponentu plana zate, treba zadui po jedno lice
da upravlja promenama u skladu sa polikom zate [41].
Detaljan plan zate moe se razvi za implementaciju polike zate, kada me-
nadment organizacije prihva skup kontrola zate za ublaavanje rizika (SKA).
Meu kljunim faktorima uspeha implementacije plana zate su: potpuna podrka
menadmenta; upoznavanje svih zaposlenih sa ciljevima zate; prepoznavanje jedin-
stvenih kulturolokih, ekih i drugih zahteva organizacije; ukljuivanje kompetentnih
i strunih mova organizacije; imenovanje odgovornog ma ili pojedinaca za poslove
zate; ugradnja mehanizama za detekciju, korekciju i doobuku i ponovnu edukaciju u
sluaju proboja sistema zate.
3.2.3. Razvoj i struktura politike i procedura zatite
Polika zate, kljuni dokument programa i plana zate, sadri bezbednosne
ciljeve, koji podravaju poslovne ciljeve organizacije i izjave na visokom nivou apstrakcije,
koje govore ta treba radi u oblas zate; obezbeuje okvir oekivanog i obaveznog
ponaanja menadera, zaposlenih, tehnologija i procesa; utvruje ciljeve, oekivanja i
verikovane korisnike zahteve, a koris principe, instrukcije, procedure i smernice, koje
su obavezne za organizaciju. Sistem upravljanja zatom informacija (ISMS) zahteva ar-
kulaciju u dokumentovanoj ISMS polici, koja ima nekoliko funkcija [23]:
obezbeuje okvir za upravljanje i odluivanje u oblas zate,
prilagoava se specinim situacijama kroz procedure i uputstva,
obezbeuje i integrie principe, standarde i najbolju praksu zate,
obezbeuje osnovu za evaluaciju usaglaenos prakse i programa zate,
obezbeuje dokaz da su mere zate implemenrane, usaglaene i akvne, u slu-
aju spora zbog zloupotreba IKTS ili kompjuterskog kriminala.
238
KO FOJ
Razvoj polike zate podrazumeva i razvoj odgovarajuih procedura, koje deniu
kako neto treba uradi u oblas zate i opisuju metod kojim se posu bezbednosni
ciljevi, navedeni u polici zate, ukljuujui redosled izvravanja akvnos u procesima
zate. Kroz procedure se dokumentuju procesi zate [35].
3.2.3.1. Struktura i taksonomija politike zatite
Polika zate se moe formira na bazi zakona, standarda i iskustva. Generika
struktura polike zate obuhvata sledee komponente [5,63,41]:
namena i bezbednosni cilj: svrha i cilj polike zate, na bazi zahteva;
obim i granice: oblast i granica na koju se sistema zate odnosi;
saoptenja: zahtevi za poszanje funkcionalnih ciljeva i odgovornos;
zahteve za usaglaenost: sa zakonom, standardima i praksom zate;
nametanje i sankcije: obaveza sprovoenja, disciplinske i druge mere.
U cilju vee korisnike prihvatljivos i smanjenja kompleksnos, polika zate se
moe uradi kao jedinstveni dokument ili na vie nivoa: organizacije programska poli-
ka zate, IKTS ISMS polika i komponen sistema zate polika upotrebe kom-
ponente sistema zate (npr. polika udaljenog pristupa).
Programska polika obuhvata generike komponente strukture polike zate eks-
plicitnu izjavu o odlunos organizacije da za informacionu imovinu i o odgovornos i
usaglaenos i treba da bude koncizna i razumljiva za sve zaposlene, da namee obavezu
izvravanja i da je relavno nepromenljiva u periodu stratekog plana poslovanja. ISMS
polika uspostavlja standard za sistem upravljanja zatom informacija u organizaciji i
navodi specine bezbednosne ciljeve (npr. obezbedi raspoloivost mrenih servisa,
bezbednost i pouzdanost mrene infrastrukture, namenu programa zate, standarde
kriptozate itd.). ISMS polika eksplicitno navodi za koje komponente sistema zate
organizacija mora razvi poliku i koji entet je odgovoran za razvoj i implementaciju.
Polika upotrebe komponente sistema zate obezbeuje osnovni skup elemenata za
denisanje bezbednosnih zahteva za dnevno operavno upravljanje odreenom ko-
mponentom sistema zate, kao to su udaljeni pristup, upravljanje lozinkom, logika
kontrola pristupa, administracija sistema zate itd. Glavni principi za razvoj i imple-
mentaciju polike zate opisani su u Tabeli 3.1 [55]:
239
UJJ O FOJ
Tabela 3.1. Glavni principi za razvoj polike zate
Princip Opis
Kbezbedi bezbednost greke bolje je izgubi funkcionalnost nego bezbednost
Evidencija bezbednosnih
dogaaja
idenkacija napadaa i naina iskorienja ranjivos u logo
datoteci bezbednosnih dogaaja
:ednostavno reenje
mehanizama zate
kompleksnost je uzrok brojnih bezbednosnih problema
:ednostavnost upravljanja laka provera usaglaenos i centralno upravljanje
Minimizacija privilegija davanje prava pristupa, potrebnih za izvravanje posla
Spreavanje prelaska sistema u
nebezbedno stanje
sistem zate vri svoje funkcije ili blokira pristup
Nemogunost zaobilaenja
mehanizama zate
sve tokove informacija u/iz zaene RM kontrolie sistem
zate
Sveopta podrka za kroz teoretsku i praknu obuku i praksu zate
Razdvajanje dunos i
odgovornos
raspodela uloga tako da niko ne moe ugrozi krine
procese
Ktvoreni dizajn arhitekture
sistema zate
sistem zate ne sme da zavisi od skrivenih implementacija
komponen zate
:aanje zate samo slabih
komponen
bezbednost svakog sistema odreena je stepenom zate
najslabije komponente
Potpuna posrednost
informacijama
koris gde god je mogue kontrolu pristupa, proxy, A&A
sever itd.
Primena raznovrsnih
mehanizama zate
primena upravljakih, operavnih, tehnikih kontrola, da bi
napadai morali ovlada razliim venama
Korisnika prihvatljivost zate
moe se obezbedi kroz obuku, poveanje stepena
razumevanja i smanjenje kompleksnos sistema zate
Slojevitost mehanizama zate kompromitacija jednog sloja ne ugroava RS ili RM
Polika zate obezbeuje nekoliko funkcija: okvir za odluivanje i upravljanje za-
tom, skalabilnost sistema zate, integraciju standarda i najbolje prakse i preporuka
u program i arhitekturu sistema zate, osnova za evaluaciju usaglaenos prakse i poli-
ke zate, sistem kontrolnih idenkatora za zatu od legalne odgovornos u sluaju
kriminala i dokaz pred sudom da su mere najbolje prakse zate bile implemenrane,
akvne i usaglaene sa standardima i principima zate (ISO/IEC 27001, ISO/IEC 13335,
CobiT, GAISP, NIST, ...) [23, 25, 27, 42, 44].
Kp funkcionalni model za razvoj polike zate, koji povezuje sve elemente siste-
ma zate, prikazan je na Sl. 3.2. [41, 36].
240
KO FOJ
Sl. 3.2. &unkcionalni model za razvoj polike zate
Zaposleni moraju poliku zate uze veoma ozbiljno, a svaki pojedinac prihva
odgovornost kao osnov za disciplinske mere, ukljuujui udaljavanje sa posla i zakonsko
gonjenje. Polika zate treba da ima podrku menadmenta i da bude:
razumljiva, racionalna i to je mogue kraa,
usklaena sa kulturom rada, poslovnim procesima i okruenjem,
uverljiva korisnicima za poszanje poslovnih ciljeva,
obavezna i armavna (treba, mora ... umesto nikada, zabranjeno i sl. ),
sveobuhvatna i kompabilna sa polikom organizacije,
skup saoptenja (ta treba za i u kom obimu), informacija (od kada vai, na
koga se odnosi i ko je autor) i metoda (za nadzor usaglaenos),
instrukcija za obaveznu primenu (ko je odgovoran, sankcije u sluaju neusa-
glaenos prakse sa polikom i doputena odstupanja),
skup informacija (kada e se polika preispiva, koji autoritet vri reviziju, da-
tum poslednje revizije i da li postoji arhiva polike zate),
baza kontaktnih informacija za izvetavanje o incidentu, sumnjivom ponaanju,
anomalijama i indikatorima incidenta i
uravnoteeni skup efekvnih kontrola zate.
U praksi zate pogreno je oekiva da e svi korisnici sprovodi usvojenu poliku,
ak i posle adekvatne obuke. Brzina sa kojom se menjaju faktori rizika, zahteva kon-
nualan pristup i auriranje polike zate procesom ispitaj i popravljaj. Kvo implicira
neprekidan nadzora i kontrolu sistema zate i okruenja, ispivanje ranjivos, primenu
241
UJJ O FOJ
bezbednosnih popravki, poboljanje
procesa i kontrola zate i auriranje
polike zate (Sl. 3.3) [41].
3.2.3.2. Razvoj politike
zatite
Polika zate se moe odnosi
na one aspekte zate za koje me-
nadment smatra da treba da budu
trerani, a u optoj formi navodi ta
je doputeno, a ta nije u toku rada
IKTS i sugerie ta je od najveeg
znaaja i ta treba uradi, a ne kako
to treba uradi. Ksnovni atribu
strukture polike zate mogu se
denisa na brojne naine, a prih-
vatljiv skup je: sadraj, potreba, na-
mena, pristup u praksi i pogodnost za primenu u specinoj situaciji. Kljuni kriterijumi
za razvoj i generisanje polike zate su [10]:
funkcija dopunjavanja internih standarda, uputstava i procedura zate;
vidljivost za sve ciljne grupe zaposlenih;
menaderska podrka, koja garantuje implementaciju polike zate;
konzistentnost sa kulturom rada, poslovnim ciljevima i misijom organizacije;
eksplicitnost saoptenja, napisanih opm, uobiajenim i razumljivim izrazima
(prihvatljivost, neprihvatljivost, neadekvatnost, mora, treba itd.).
U polici zate treba nedvosmisleno izrazi znaaj, to obezbeuje smernice, osno-
vu za upravljaki okvir, uloge i odgovornos i dokumentova stav organizacije u odnosu
na zatu. Smernice ukazuju koje akvnos treba ili ne treba izvri. Upravljaki okviri
na bazi polike zate je stabilan u vremenu nepromenljivos polike. Uloge i odgo-
vornos, za sprovoenje polike u praksi, mora da denie svaka polika zate. Do-
kument polike zate eksplicitni izraava stav organizacije prema za informacija.
Ulazne veliine u proces razvoja polike treba da budu rezulta analiza i procena rizika,
koji se kasnije mogu koris za reviziju adekvatnos polike u posebnim okolnosma
[24, 55].
Saoptenja (statements) polike zate posebno su ekasan metod za denisanje
specinih funkcionalnih zahteva, uloga i odgovornos u za. Koncept ne zavisi od
organizacione strukture, a omoguava da se funkcionalni zahtevi i uloge mapiraju sa
upravljakim pozicijama na eksibilan nain. Preklapanja i meuzavisnos saoptenja
Sl. 3.3. Ciklus procesa odravanja
polike zate
242
KO FOJ
su krini faktori, koji se moraju korektno kontrolisa, a zahtevi, uloge i odgovornos
koherentno poveziva. Polika zate dokumentuje i naine reavanja posebnih pitanja.
Iako nema vrsh i brzo primenjivih pravila za denisanje forme, obima i sadraja poli-
ke zate, brojni uzorci saoptenja dostupni su na Internetu (SANS Instut, NIST, Infor-
maon Shield Policy, ReSecure itd) [63, 41, 36]. Do konkretnih polika zate nije lako
doi, jer su poverljivi autorski radovi. Dobar pristup za izradu konkretne polike zate
obezbeuje se denisanjem standardne strukture zajednikih i specinih elemenata.
Denisanje standardne strukture polike zate bitno je za standardizaciju dokume-
nata zate. :ednostavna polika odgovara manjim organizacijama, a za vee su potreb-
na mnogo preciznija saoptenja i sa vie restrikcija. Generalno, bolje je ima posebnu
poliku zate na razliim nivoima, nego jedinstvenu, ali je teko izbei preklapanja i
ponavljanja. Takoe, jedinstvena polika zate za veliku organizaciju moe bi neprih-
vatljivo velik dokument.
Polika zate moe da ima sledeu optu strukturu [35, 41]:
Naslov:
Autor:
Verzija:
Datum:
Amandmani: kontrolni podaci dokumenta, poetak primene, datum revizije
Namena: predmet polike i ciljna grupa za koju je dokument namenjen.
1. Uvod: denicija zate informacija, objanjenje konteksta sistema zate.
2. Struktura, obim i granice: kratak opis strukture, obima, granica polike.
3. Bezbednosni ciljevi: svi bezbednosni ciljevi po prioritema.
4. Saoptenja: specini funkcionalni zahtevi, uloge i odgovornos, usaglaenost, odnosne
polike, sankcije za nespovoenje, vlasnik polike.
5. Renik termina: kljune rei koriene u dokumentu.
6. Odobrava: poslednja stranica koju potpisuje akreditacioni autoritet
Struktura konkretnog dokumenata polike zate na razliim nivoima i za razliite
komponente zate, jednaka je za deo opte strukture (1 - 3), a razlikuju se za specini
deo od take 4. - 6. Na primer:
I. Struktura Programske polike zate:
1 3. (Tipini deo opte strukture polike zate).
4. Saoptenja polike
eksplicitna podrka i kratke smernice za obim i granice polike
243
UJJ O FOJ
4.1. Saoptenje o zahtevima:
za zatu informacija i IKTS organizacije
4.2. Saoptenje o odgovornos:
obavezu odreivanja uloga (vlasnika) i odgovornos svih zaposlenih
4.3. Usaglaenost i obaveza primene:
obavezuje usaglaenos polike sa standardima i praksom zate
denie sankcije za nesprovoenje i neusaglaenost polike zate
5. Denicije termina: renik kljunih termina u odnosnoj polici zate
6. Odobrava:
potpisuje glavni menader
II. Struktura polike zate IKTS (SystemSpecic Policy):
1 3. (Tipini deo opte strukture polike zate)
4. Saoptenja polike
eksplicitna podrka i smernice za obim i granice polike;
4.1 Saoptenje o zahtevima:
za zatu specinog objekata imovine, komponente, sistema;
4.2 Saoptenje o ulogama i odgovornosma:
glavnog menadmenta,
izvrnih menadera,
svih zaposlenih, spoljnih saradnika i TTPS provajdera i
optoj odgovornos za razvoj sves o potrebi zate svih uesnika;
4.3. Usaglaenost i obaveza primene:
objanjava hijerarhiju odnosnih dokumenata zate i znaaj usaglaenos polike sa
standardima i praksom zate,
denie sankcije za nesprovoenje i neusaglaenost polike zate i
odreuje vlasnika polike i listu vanih kontakata (funkcije, ne imena);
5. Denicije termina:
renik kljunih termina u odnosnoj polici zate;
6. Odobrava i autorska prava:
potpisuje akreditator i obino potvruje dobrovoljno ustupanje autorskih prava.
III. Struktura ISMS polike zate:
1. 3. (Tipini deo opte strukture polike zate)
4. Saoptenja polike:
denicija bezbednos informacija,
preporuena lista komponen zate za koje treba razvi poliku, npr: fizika zata, per-
sonalna zata, upotreba kriptograje, upravljanje kompjuterskim incidentom, logovanje
i kontrolni tragovi, udaljeni pristup, zata CIA informacija itd.,
244
KO FOJ
uloge i odgovornos: detaljne uloge i odgovornos za ISMS,
usaglaenost i obaveza primene i
vlasnitvo i kontak;
5. Denicije termina
6. Kdobrava i autorska prava
ISMS polika (ISK/IEC 27001), izmeu ostalog, treba da sadri: deniciju zate CIA informacija;
bezbednosne ciljeve menadmenta u oblas zate; uloge i odgovornos zaposlenih u ISMS;
smernice, standarde, procedure i uputstva koji podravaju poliku ISMS; kratko objanjenje prin-
cipa i polike komponen zate; reference o malicioznim programima i napadima; plan kon-
nuiteta poslovanja; posledice u sluaju krenja ISMS polike.
Primer 1: Namena ISMS polike: da za informacionu imovinu organizacije XY od svih
vidova pretnji. Ovom polikom se deniu funkcionalnost i organizaciona struktura bez-
bednos informacija u XY, to se obezbeuje denisanjem funkcija procesa zate kroz
saoptenja, uloge i odgovornos.
Primer 2: Ciljevi ISMS polike: da obezbedi zatu od neovlaenog pristupa informaci-
jama; zatu poverljivos, integriteta i raspoloivos informacija; poslovanje u skladu sa
regulavom, zakonima i poslovnim ciljevima; izradu, implementaciju i tesranje planova za
konnuitet poslovanja; dostupnost obuke o za za sve zaposlene; evidenciju svih sumn-
jivih dogaaja u vezi sa bezbednos informacija i istragu od strane menadera zate in-
formacija.
Uobiajeno je da ISMS polika upuuje na druga dokumenta zate, a pino se
menja svake 2 3 godine, sa nekom glavnom promenom.
IV. Struktura Polike komponente zate (IssueSpecic Policy):
Kdnosi se na poliku funkcionalne komponente sistema zate. Primer strukture:
1. 3. (Tipini deo opte strukture polike zate)
4. Saoptenja:
specini zahtevi za, npr. uskladitene informacije, metod skupljanja informacija, uprav-
ljanje kolaiima, pristup linim podacima, auriranje linih podataka, iskljuivanje infor-
macija, dostupnost za treu stranu i sl. i
uloge i odgovornos svih relevantnih uesnika na koje se polika odnosi;
5 i 6. Kao u standardnoj strukturi, ali specino za konkretnu komponentu zate.
Polika komponente zate moe da se generie u okviru Polike zate IKTS kroz specina
saoptenja ili kao samostalni dokument. U prvom sluaju problem je slaba korisnika prihvatlji-
vost obimnog dokumenta, a u drugom mogunost ponavljanja i preklapanja.
245
UJJ O FOJ
3.2.3.3. Razvoj procedura zatite
Procedura je precizno denisan skup, korak po korak, akvnos procesa za implemen-
taciju polike zate. Sadri detaljne liste i opte forme koraka i instrukcija za izvravanje
speciciranih procesa [23, 35]. Znaaj procedura zate ne sme se nikako potcenjiva,
jer su ljudske greke, jo uvek, primarni uzrok proboja sistema zate. Procedure doku-
mentuju procese zate i opisuju naine implementacije, operavnog korienja i odla-
ganja mehanizama i protokola zate. Na primer, procedura za upravljanje kompjut-
erskim incidentom, treba da denie ko i kako upravlja incidentom, kako se skupljaju i
istrauju napadi i anomalije u sistemu, kako i kada se interni ili eksterni napad dogodio,
ko moe objavi informacije o incidentu i kome ih dostavlja i ko i kako moe da izvri
forenziku istragu, akviziciju i analizu digitalnih dokaza u sluaju kriminala.
Procedura zate sputa poliku na operavni nivo i objanjava prakne korake
kako se ona implemenra u dnevnom radu. Usaglaenost prakse i polike zate, u
velikoj meri zavisi od toga koliko su kompletne procedure i koliko dobro deniu i opisuju
zadatke, koje treba preduze, da bi se ispunili bezbednosni ciljevi polike zate. Proce-
dure su pine za upravljake i organizaciono-operavne kontrole, koje izvravaju ljudi i
koje se esto nazivaju proceduralne kontrole zate. Za tehnike alate zate procedure
se uobiajeno daju uz tehniku dokumentaciju [35].
U procesnom pristupu, procedura zate je sastavna komponenta procesa zate,
koja opisuje sekvencijalno izvravanje bazinih akvnos i zadataka, povezuje akvnos
i odreuje redosled izvravanja zadataka. Procesi zate se mogu dekomponova u tri
kljuna skupa akvnos ili procedura za [35]:
1. upravljanje procesom, koje koordiniraju koherentan rad procesa zate,
2. izvravanje procesa, sa prioritetom izvravanja i meusobnim vezama i za
3. dokumentovanje kontrola i izlaza procesa zate.
Uobiajeno se procesi zate normalno dokumentuju kroz procedure, koje se, zam,
to detaljnije opisuju u dokumentaciji procesa zate. esto treba koris zdravu logiku,
apriorna i opta znanja da bi se smanjila kompleksnost, izbeglo nepotrebno ponavljanje
i odredio racionalan nivo detalja u svakoj proceduri i dokumentu zate. Na taj nain
pojednostavljuje se proces odravanja sistema zate i poveava verovatnoa da e pro-
cedure bi stvarno koriene. Kpis procesa zate kroz detaljne procedure generie se
u dokumentu Procedure zate na razliim nivoima (npr. procedura za administratora
zate). Primeri uzoraka procedura zate mogu se nai u literaturi [63, 55].
Uputstvo za zatu je celovit dokument o za namenjen administratorima i
glavnim menaderima zate, kao pomo u projektovanju sistema zate, upravljanju
programom zate od inicijalnog koncepta do implementacije i u odravanju sistema
zate, obuci i procesu nadzora, kontrole i revizije. Uputstvo moe da sadri i instrukcije
za korienje kataloga kontrola zate za osnovni i poveani nivo zate krinih objeka-
ta IKTS. Uputstva za zatu, namenjena korisnicima IKTS, orijensana su na odreene
246
KO FOJ
grupe korisnika i obrauju odreene komponente zate u delokrugu odgovornos te
grupe [55].
3.3. PREPORU,ENA DOKUMENTACIJA ZA IMPLEMENTACIJU ISMS
Projektna dokumentacija za implementaciju ISMS obuhvata [23]:
tok procesa implementacije i serkacije ISMS;
denicija obima ISMS;
ISK/IEC 27002 upitnik/Izvetaj o analizi razlika (Gap Analysis Report)
predlog za implementaciju ISMS;
plan implementacije ISMS;
plan tretmana rizika (kako e bi ublaen preveliki rizik);
saoptenje o primenljivos SKA (Statement of Applicability);
inicijave, dnevni red, odobrenja odeljenja za zatu informacija;
strategija upravljanja rizikom, pristup, metodologija;
organizacija ISMS (dijagram organizacione strukture i izvetavanja);
renik termina zate informacija (hiperlinkovani online dokument);
smernice i metrika za implementaciju ISMS (sa idejama i savema);
metrika zate informacija (skup uzoraka).
ISMS polika, zavisno od konteksta i pa organizacija, preporuuje izradu:
1. Polika pristupa
2. Polika razvoja sves o potrebi zate i obuka o za
3. Polika upravljanja rizikom
4. Polika upravljanja ivotnim ciklusom sistema zate
5. Polika prihvatljivog ponaanja
6. Polika zate informacija i podataka na komunikacijama
7. Polika upravljanja vanrednim dogaajem
8. Polika upravljanja kompjuterskim incidentom
9. Polika sakupljanje i odravanje kontrolnih tragova (Audit trails)
10. Polika usaglaenos i odgovornos
11. Polika serkacije i akreditacije
12. Polika istog stola i ekrana
13. Polika arhiviranja i zadravanja podataka
14. Polika klasikacije informacija
15. Polika odlaganje informacija/medija/opreme
16. Polika zate e-poslovanja
247
UJJ O FOJ
17. Polika prihvatljive upotrebe epote
18. Polika procene rizika bezbednos informacija
19. Polika zate laptop (mobilnih) raunara
20. Polika mobilnog i rada sa daljine
21. Polika upotrebe iznajmljenih resursa (outsourcing)
22. Polika upravljanja lozinkom
23. Polika tesranja sistema na proboj
24. Polika personalne zate
25. Polika zike zate
26. Polika zate privatnos
27. Polika upotrebe licencnog sovera
28. Polika anspam zate
29. Polika bekapovanja i oporavka sistema/podataka
30. Polika monitoringa upotrebe sistema
31. Polika pristupa tree strane
32. Polika zate od malicioznih programa
Ksnovni tehniki standardi zate (Baseline Technical Security Standards) specicira-
ju bezbednosne konguracije i parametre za razliite plaorme i vrste raunara, aplika-
vne i druge servere, baze podataka, razvojne sisteme, DMZ ureaje, logike barijere,
razliite KS, mrene ureaje, ine i beine mree itd.
Procedure za zatu informacija pino ukljuuju procedure za: bekapovanje, pro-
cenu i reviziju usaglaenos, izvetavanje o incidentu, reviziju logike kontrole pristupa,
upravljanje bezbednosnim popravkama, administraciju zate RS/RM, poboljanje, te-
sranje, korisniko odravanje sistema zate itd. Procedure za upravljanje sistemom
zate pino ukljuuju procedure za: korekvne/ prevenvne akcije, registrovanje i do-
kumentovanje kontrolnih tragova, internu kontrolu i reviziju ISMS, upravljanje rizikom,
razvoj sves o potrebi zate, reviziju ISMS, analizu bezbednosnog rizika, programske
alate za procenu rizika itd.
Uloge, odgovornos i kompetencije za ISMS pino obuhvataju: lica za planiranje
vanrednog dogaaja i oporavak sistema, vlasnike informacione imovine, analiare i
projektante sistema zate, menadera zate informacija GISO (General Informa-
on Security O cer), specijalistu zate informacija ISO (Informaon Security O cer),
specijalistu za tesranje sistema zate na proboj, kontrolora sistema zate i adminis-
tratora zate RS/RM.
Operavni artefak su formalne evidencije, koje se generiu kao rezultat ISMS
prakse, a ine ih: plan konnuiteta poslovanja (BCP); kontrolna lista za procenu ucaja
na poslovanje i sistem izvetavanja; plan za oporavak IKTS; templej za izvetavanje o
bezbednosnom incidentu; izvetaji o znaajnijim incidenma; lista za proveru i reviziju
248
KO FOJ
dizajna i arhitekture reenja za razvoj sovera; taksonomije pretnji i ranjivos, liste za
proveru, upitnici i izvetaji.
Evidencija ISMS obuhvata: liste baze podataka informacione imovine; registar medi-
ja za bekapovanje; registar BCP; registar faktora bezbednosnog rizika; registar kompjut-
erskih incidenata; lista administratorskih, privilegovanih i korisnikih prava pristupa;
registar licenciranih programa; lista standardnih programa RS; registar popravki OS i
statusa AVP; registar pristupa TTPS.
3.4. USPOSTAVLJANJE UPRAVLJA,KOG OKVIRA SISTEMA ZATITE
Upravljaki okvir ine saoptenja polike zate, standardi zate, procedure, radna
dokumenta i tehnike kontrole, implemenrane da obezbede dnevno operavni rad
IKTS. Na slici Sl. 3.5. prikazani su odnosi polike zate, procene rizika i upravljakog
okvira sistema zate.
Sl. 3.5. Sazrevanje procesa upravljakog okvira zate
Upravljaki okvir evoluira sazrevanjem procesa zate od upravljanja na bazi polike
do implementacije rezultata procene rizika. Upravljanje na bazi polike zate, rezultat
je strategijskih inicijava i predstavlja sporo promenljivu komponentu programa zate.
Upravljanje rizikom je dinamiki promenljiva komponenta, a mera u kojoj odgovora
249
UJJ O FOJ
dnevnim potrebama, dobar je pokazatelj zrelos organizacije. Kako procesi organizacije
sazrevaju, oekuje se postepena zamena upravljakog okvira na bazi polike zate,
sa upravljanjem na bazi procene rizika, to ukazuje na sposobnost organizacije da bre
reaguje na promene u okruenju [55].
Za veinu organizacija upravljaki okvir u velikoj meri zavisi od spoljnih partnera i
TTPS. Vei je problem za organizacije koje same implemenraju tehnologije zate. Na
primer, u AVP za, koja je ekasna u slojevitoj arhitekturi sistema zate, incident
se moe dogodi, ako se na vreme ne sprovode procedure zate. Kvako strog reim
zahteva veliku disciplinu, pa rigidna polika zate moe preive uglavnom u vojnoj,
policijskoj i dravnoj strukturi, a tee u poslovnom okruenju.
Savremeni koncept upravljakog okvira sistema zate, uspostavljen na osnovu kon-
sultacija vie standarda zate (ISO/IEC 27001 i drugi, PCIDSS, HIPAA, GrammLeach
Bliley i NIST), programa za kontrolu i reviziju i prakse zate u vie javnih, privatnih i
dravnih organizacija, obuhvata trinaest bezbednosnih kategorija komponen zate
na stratekom, takkom i operavnom nivo (Tabela 3.2). Cilj je razvi okvir, koji se
moe integrisa u program zate informacija i zadovolji strateke potrebe orga-
nizacije. Upravljaki okvir daje mogunost organizaciji da modikuje ili doda kontrole
i ciljeve zate, da dosgne nivo prihvatljivog rizika, kao i smernice za razvoj, procenu i
poboljanje zate informacija.
Tabela 3.2. Bezbednosne kategroije upravljakog okvira sistema zate
Bezbednosne kategorije Nivo bezbednosne kategorije
(1) organizacija i menadment STRATEaKI
(2) polika zate
TAKTIKI
(3) kontrola, revizija i usaglaenost
(4) upravljanje rizikom i prikupljanje informacija
(5) zata privatnos
(6) upravljanje incidentom
(7) svest, obuka i obrazovanje u za
(8) operavno upravljanje zatom
KPERATIVNI
(9) tehnike kontrole zate i kontrola pristupa
(10) monitoring, merenja i izvetavanje
(11) zika i zata okruenja IKTS
(12) idenkacija i klasikacija imovine
(13) upravljanje nalozima i spoljnim korisnicima
Nivoi zrelos i kapacite procesa upravljakog okvira zate informacija sa osnovnim
karakteriskama da su u Tabeli 3.3 [22].
250
KO FOJ
Tabela 3.3. Kapacite procesa upravljakog okvira po nivoima zrelos
Nivo zrelos Osnovne karakteriske
Nivo 1 Najbolje prakse se ne izvravaju, a neformalni procesi nisu planirani.
Nivo 2
Krganizacija ima neku poliku i procedure zate, najbolje prakse se izvravaju,
procesi su planirani, ali nisu ponovljivi u celoj organizaciji.
Nivo 3
Polika i procedure zate su planirane, izvravane, dobro denisane i imple-
menrane u celoj organizaciji.
Nivo 4
Prakse i procesi zate su planirani, izvravani, dobro denisani, implemen-
rani, kvantavno upravljani i kontrolisani u celoj organizaciji.
Nivo 5
Prakse i procesi zate su planirani, izvravani, dobro denisani, implemen-
rani, kvantavno upravljani, kontrolisani u celoj organizaciji, neprekidno
poboljavani i integrisani u strateke poslovne odluke.
3.5. REZIME
Program zate ukljuuje programsku poliku zate, plan zate, ISMS poliku,
poliku komponen sistema zate, procedure i uputstva zate. Ksnovni zahtevi pro-
grama zate su sprovoenje nacionalnih i EU zakona i standarda za zatu IKTS, kao i
obezbeivanje digitalnih tragova za forenziku istragu i vetaenje digitalnih dokaza za
pravosudne potrebe u sluaju kompjuterskog kriminala. Razvoj sves o potrebi i obuka
u oblas zate, kljune su komponente za implementaciju i odravanje efekvnog pro-
grama zate. Program zate zahteva dokumentovanje svih akvnos.
Plan zate je sveobuhvatan strategijski set dokumenata projekta za zatu informa-
cione imovine. Polika zate je kljuna komponenta plana zate, izjava na visokom
nivou, koja obezbeuje okvir oekivanog i obaveznog ponaanja menadera, zaposlen-
ih, tehnologije i procesa u sistemu zate, a realizuje se kroz principe, instrukcije, proce-
dure i smernice, koje su obavezne za celu organizaciju. Nametanje obaveze sprovoenja
polike zate je krina komponenta programa zate, jer ako nema posledica za
povrede polike zate, zaposleni je nee dosledno sprovodi. Polika zate treba da
se prezenra zaposlenima u istom formatu i kroz iste kanale, distribucione liste, uput-
stva i sl. u organizaciji, kao i poslovna polika organizacije. Polika, standardi, procedure
i uputstava zate moraju bi realni u pogledu ucaja okruenja, ekih i kulturolokih
principa; moraju bi predstavljeni na takav nain da zaposleni shvate da je menadment
odluan u pogledu njihovog znaaja, implementacije i prakse. Standardi, polika, pro-
cedure i uputstava zate su mehanizmi pomou kojih menadment izraava i podrava
svoj stav prema za informacija, kao dragocenoj imovini organizacije. Dok se stan-
dardna struktura polike zate relavno sporo menja, sadraj polike, a posebno
procedura zate, treba da aurno pra razvoj otvorenih, visoko distribuiranih IKTS i
sistema zate. Za sistem zate potrebna su brojna saoptenja polike zate, kao i
251
UJJ O FOJ
procedure zate, koji esto nisu pod kontrolom centralnog enteta za upravljanje siste-
mom zate. Polika zate treba da obavee organizaciju na centralizovano upravljanje
zatom.
Procedure zate su precizno denisani naini izvravanja akvnos u primeni poli-
ke; propisuju naine implementacije i operavnog korienja mehanizama i protokola
zate i dokumentuju procese zate. Uputstvo za zatu je dokument o za name-
njen administratorima, menaderima i korisnicima, kao pomo u radu.
Implementaciju polike i procedura zate treba paljivo planira u planu zate,
da bi se obezbedila maksimalna ekasnost, sa minimalnim odstupanjem radnih procesa
i funkcija. Akvna podrka menadera izuzetno je krina za implementaciju polike.
Upravljaki okvir ine saoptenja polike, standardi, procedure, radna dokumenta
i tehnike kontrole zate. Upravljaki okvir na bazi polike je sporo promenljiva kom-
ponenta programa zate, a na bazi upravljanja rizikom dinamiki promenljiva. Kako
procesi organizacije postaju zreliji, oekuje se postepena zamena upravljakog okvira
na bazi polike zate, sa procesom upravljanja na bazi procene rizika, to ukazuje na
sposobnost organizacije da bre reaguje na promene u okruenju.
Plan zate: sveobuhvatan dovoljno detaljan,
jasan i precizan dokument za planiranje zate
informacione imovine.
Polika zate: izjava na visokom nivou, koja
obezbeuje okvir oekivanog i obaveznog
ponaanja menadera, zaposlenih, tehnologi-
je i procesa zate.
Procedure zate: precizno denisani naini
primene elemenata polike zate sa listom
detalja i oph formi koraka speciciranih pro-
cesa.
Program zate: sve to neka organizacija
ini da proizvede, primeni, podri i unapredi
bezbednost IKTS; esto se naziva programska
polika zate.
Struktura polike zate: standardizovana,
metodoloka forma izlaganja sadraja doku-
menta polike zate, koja obuhvata jedinst-
ven op deo za sve pove polika zate i
specini deo za odreenu poliku zate.
Saoptenje polike zate: eksplicitna izjava
koju polika zate sadri o odreenim pitan-
jima zate; daje se u razumljivoj formi, sa jas-
nim i jednostavnim terminima.
Upravljaki okvir: ine ga polika, standardi i
procedure zate, radna dokumenta i tehnike
kontrole zate; sporo promenljiva kompo-
nenta programa zate.
Upravljaka dokumentacija: ugovori, planovi,
izvetaji, budetska dokumenta, NDA i dr.
252
KO FOJ
1. Dokument Programska polika zate
treba da obuhva najmanje:
a. namenu, bezbednosne ciljeve, obim i
usaglaenost
b. namenu, bezbednosne ciljeve i granice
akreditacije
c. smernice, podrku, odgovornost i odo-
brenje menadmenta, komunikaciju,
obavezu nametanja polike i sankcije
d. namenu, bezbednosne ciljeve,
usaglaenost (optu i specinu) i od-
govornost
2. Generiki proces razvoja Plana zate
obuhvata sledee osnovne faze:
a. iniciranje projekta i nabavka resursa za
zatu
b. uloge i odgovornos i upravljanje
promenama
c. razvoj polike zate, konsultacije i
odobravanje
d. razvoj sves, obuka i distribucija poli-
ka zate
3. Uloga glavne menaderske strukture u
izradi Plana zate je:
a. obezbedi superviziju i denie i upravlja
glavnim smernicama polike zate,
nadzire i kontrolie realizaciju plana
zate
b. pripremi i planira razvoj sistema zate
i obezbedi projekat implementacije
c. klasikuje imovinu, izvri analizu rizika
i preuzme vodeu ulogu i odgovornost
u kreiranju programa, plana i polika
zate
d. nametne praksu obaveznog uvoenja
standarda u oblast zate i angaovanja
odgovornih, strunih i iskusnih lica na
poslovima zate
e. izvri internu kontrolu i nadzor
sistema zate, nametne praksu
primene internih standarda i obezbedi
usklaenost prakse i programa zate
f. obezbedi eksplicitno izraenu odgovo-
rnost menadmenta, izabere telo za
superviziju i kontrolu procesa upravl-
janja rizikom i sistemom zate u celini
4. Kpta procedura za upravljanje prom-
enama treba da ima sledeu osnovnu
strukturu:
a. planiranje, odreivanje prioriteta,
uvoenje i kataloka registracija prom-
ena
b. uvoenje, kataloka registracija,
planiranje redosleda, implementacija i
izvetavanje o izvedenim promenama
c. planski raspored, implementacija i
kontrola promena
d. lista kontrola zate za upravljanje
promenama i izvetavanje upravne
strukture o izvedenim promenama
5. Vrste polika zate su:
a. programska, polika zate IKTS, ISMS
polika i polika upotrebe komponente
sistema zate
b. polika zate IKTS, ISMS, polika
udaljenog pristupa i polika upotrebe
komponente sistema zate
c. programska, polika zate IKTS, ISMS
polika i polika elektronskog po-
slovanja
6. Princip za implementaciju polike Obez-
bedi bezbednost greke objanjava izraz:
a. preporuuje se primena razliih
mehanizama zate, da bi maliciozni
napadai morali ovlada razliim i po
mogunos meusobno nespojivim
venama
b. ako se greka dogodi, IKTS treba da
padne na bezbedan nain; sistem
zate treba da ostane u funkciji; bolje
izgubi funkcionalnost nego bezbed-
nost
c. podrazumeva da svi informacioni
tokovi u zaenoj mrei i iz nje, moraju
prolazi kroz sistem zate informacija i
mrenu barijeru
7. Princip za razvoj i implementaciju polike
Minimizacije privilegija objanjava izraz:
a. samo se u jednostavno i lako upravl-
janom sistemu moe ekasno proveri
usaglaenost konguracije komponen
i ostvari centralno upravljanje.
253
UJJ O FOJ
b. dodeljivanje samo onih korisnikih i
adminstravnih prava pristupa koja su
neophodna za izvravanje dunos
c. pod oekivanim okolnosma sistem
zate ili potpuno izvrava svoje funk-
cije ili potpuno blokira pristup.
d. preporuuje se primena razliih
mehanizama zate, da bi maliciozni
napadai morali ovlada razliim i
nespojivim venama za proboj sistema
zate
zate Odvajanje dunos objanjava izraz:
a. mehanizmi zate i IKTS generalno
treba da bude to je mogue jed-
nostavniji, jer je kompleksnost uzrok
brojnih bezbednosnih problema
b. raspodela uloga i odgovornos u
sistemu zate i IKTS u kojoj jedan
ovek ne moe narui krine procese
organizacije
c. garantovana bezbednost svakog
sistema zate odreena je stepenom
zaenos najslabije komponente, to
esto nije ni raunar, nego ovek
zate Jaanje zate samo slabih kompo-
nen objanjava sledei izraz:
a. garantovana bezbednost svakog
sistema zate odreena je stepenom
zaenos najslabije komponente, to
esto nije ni raunar, nego ovek
b. funkcije u za do najveeg mogueg
stepena treba da budu odvojene;
koncept treba primeni i na sisteme i
operatere/korisnike.
c. treba koris svuda indirektan pris-
tup informacijama, preko posrednih
elemenata koji nameu poliku zate
(AC, proxy i A&A server, e-mail gate-
way)
zate Slojevita zata objanjava izraz:
a. korisnici treba da razumeju potrebu
zate, to se moe obezbedi kroz
obuku, a implemenrani mehanizmi
treba da prue oseaj korisnos
b. pojedinani mehanizam zate gener-
alno je nedovoljan, mehanizmi zate
treba da budu slojevito rasporeeni
u arhitekturi sistema zate, tako da
kompromitacija jednog ne ugroava
host sistem/mreu
c. kada su sistem i mrea kompromi-
tovani, to treba registrova ili eviden-
ra u log datoteci, a ove kontrolne
informacije mogu pomoi kod iden-
kacije naina iskorienja ranjivo-
s, idenkacije napadaa i proboja
slojevite zate
11. Kljune funkcije polika zate su:
a. opisuje ta treba radi u oblas
zate i obezbeuje okvir oekivanog
i obaveznog ponaanja menadera,
zaposlenih, tehnologije i procesa
b. obezbeuje potrebnu dokumentaciju
zate i skup kontrola za osnovnu
zatu
c. utvruje ciljeve, oekivanja i veri-
kovane korisnike zahteve za poslovne
procese
d. koris principe, instrukcije, procedure i
smernice, obavezne za organizaciju
12. Kljuni kriterijumi za razvoj i generisanje
polike zate su:
a. jasno razumevanje vizije i ciljeva zate
od strane menadera, ukljuivanje
specijalista zate, informaara i to
vie predstavnika organizacionih jedi-
nica
b funkcija dopunjavanja, vidljivost,
menaderska podrka, konzistentnost i
eksplicitnost saoptenja
c. idenkovani glavni rizici za infor-
macionu imovinu i razvijen projekat
sistema zate, koji reektuje potrebe
organizacije
13. Navedite obavezne sastavne komponente
pine strukture polike zate:
a. namena, cilj, vrsta, obim, odgovornost,
usaglaenost, saoptenja
b. namena, cilj, vrsta, obim, odgovornost,
usaglaenost
254
KO FOJ
c. namena, cilj, obim, specina
saoptenja, odgovornost, usaglaenost,
sankcije
d. namena, obim, specina saoptenja,
odgovornost, usaglaenost, sankcije
14. Navedite saoptenja/zahteve koja se mogu
nai u Polici lozinke:
a. ne menja lozinku najmanje tri meseca
b. menja lozinku najmanje jedanput
meseno
c. uzima to krau i jednostavniju lozinku
zbog lakeg pamenja
d. zapisiva lozinku da bude na dohvat
ruke, da se lake koris
e. uva lozinku na bezbednom mestu
f. koris lozinku sa najmanje 8 karaktera
kombinovanih interpunkcijskih znakova
slova i brojeva
15. Koja vrsta polike uobiajeno zabranjuje
igranje raunarskih igrica na poslu:
a. polika kontrole pristupa
b. polika udaljenog pristupa
c. polika ispravnog ponaanja u IKTS
d. polika minimuma privilegija
16. Procedura zate je:
a. precizno denisan skup, korak po korak,
akvnos procesa zate
b. komponenta procesa zate koja opisu-
je akvnos i odreuje tok procesa
c. skup povezanih akvnos zate, koje
ini proces upravljanja zatom
d. nain implementacije i operavnog
korienja mehanizama i protokola
zate
17. ISMS standard (ISK/IEC 27001) obezbe-
uje:
a. uputstvo za upravljanje i izbor kontrola
zate
b. odgovore kako treba upravlja zatom
c. instrukcije ta treba radi u praksi
zate
d. upravljake, operavne i tehnike kon-
trola zate
e. tehniki standard za specine
tehnologije i metriku za evaluaciju
zate
f. sistem za upravljanje zatom infor-
macija
g. kompabilnost sa SSE CMM modelom
sazrevanja procesa zate
18. Kontrolni okvir je:
a. skup polika, standarda, procedura,
radnih dokumenata i kontrola zate
b. rezultat strategijskih inicijava i dugo-
ronih bezbednosnih ciljeva
c. rezultat kratkoronih takkih bezbed-
nosnih zahteva
d. sporo promenljiva komponenta pro-
grama zate
e. pokazatelj zrelos procesa zate orga-
nizacije
f. upravljan polikom zate i procesom
procene rizika
g. uvek zavisi od spoljnih partnera (pover-
ljivih provajdera servisa zate TTPS).
255
UJJ O FOJ
4.
NADZOR, KONTROLA I REVIZIJA
SISTEMA ZATITE
4.1. UVOD
Savremeni poslovni IKTS sve vie zavise od sistema zate. Da bi se izbegli ili spreili
brojni rizici, nuno je obezbedi neprekidan nadzor, kontrolu i reviziju
32
(auding) siste-
ma zate. Kontrolori i revizori zate moraju bi osposobljeni za evaluaciju sistema
zate i da ponude preporuke za smanjenje bezbednosnog rizika na prihvatljivi nivo.
Praksa nadzora, kontrole i revizije sistema zate ukazuje na brojne ranjivos IKTS,
kao to su: nedostatak formalnog plana i polike zate; neadekvatnost kontrola zate;
nepotpuno korienje NOSSS kapaciteta zate; instalacija/modikacija programa bez
kontrole i izmene pretpostavljene konguracije ili lozinke; neauriranje denicija AVP;
neadekvatnost planova za vanredne dogaaje i konnuitet poslovanja; neadekva-
tnost odgovornos u za; sporo objavljivanje otkrivenih ranjivos; nedovoljna svest
o potrebi zate; velika ovlaenja i slabo razdvajanje dunos u IKTS; nedostatak os-
novnih kontrola za upravljanja programom zate itd. Posebnu panju kontrolori i re-
vizori sistema zate treba da usmere na implementaciju kontrola zate i upravljanje
zatom.
4.2. PROCESI NADZORA, KONTROLE I REVIZIJE SISTEMA ZATITE
Interni nadzor i kontrola sistema zate treba da budu stalne, povremene i regu-
larne akvnos, koje se vre u skladu sa denisanom procedurom. Kontrolni tragovi
su zapisi bezbednosno relevantnih dogaaja u bezbednosnoj log datoteci, a koriste se
za otkrivanje proboja, neovlaenog korienja i eventualne zloupotrebe informacija i
objekata u RS/RM. Zavisno od konguracije, mogu bi ogranieni na specine bezbed-
nosne dogaaje ili da obuhvataju sve akvnos u sistemu.
32 Termin revizija podrazumeva tehniku reviziju sistema zate, za razliku od nansijske revizije.
256
KO FOJ
Funkcija revizije sistema zate obezbeuje internu i nezavisnu (eksternu) evaluaciju
polike, procedura, standarda, kontrola i prakse zate IKTS od gubitaka informacija,
oteenja, nenamernog otkrivanja ili pada sistema. Mehanizmi za reviziju sistema zate
treba da obezbeuju reviziju svakog pristupa sistemu i osetljivim informacijama [38].
Bezbednosni ciljevi nadzora, kontrole i revizije zate su obezbeenje dodatnog fa-
ktora poverenja korisnika u zatu i provera ispravnos rada i korienja razliih meha-
nizama vieslojne zate, obrazaca pristupa objekma IKTS, istorije pristupa specinih
procesa i korisnika, ponovljenih pokuaja ovlaenih i neovlaenih korisnika da zaobiu
mehanizme zate, korienja privilegija i dr.
Korisnici mehanizma za nadzor, kontrolu i reviziju mogu se podeli u grupe kon-
trolora, revizora i korisnika. Kontrolori i revizori su korisnici sa serkovanim pravima
administratori sistema (za nie nivoe kontrole i revizije) ili administratori zate, koji
biraju dogaaje, koje sistem treba da registruje, postavljaju kontrolne markere za regis-
trovanje dogaaja i analiziraju kontrolne tragove. Korisnici su administratori, operateri,
programeri i drugi korisnici IKTS, koji generiu kontrolne dogaaje i moraju razume
da postoje mehanizmi za nadzor, kontrolu i reviziju i koji ucaj oni imaju na njih, to je
presudno za faktore odvraanja i poszanja bezbednosnih ciljeva.
4.2.1. Glavni aspekti procesa kontrole i revizije sistema zatite
Standarde i uputstva za nadzor, kontrolu i reviziju zate IKTS donosi nekoliko
meunarodnih organizacija, od kojih su najznaajnije ISACA (The Informaon Systems
Audit and Control Associaon) i ISACF (The Informaon Systems Audit and Control Foun-
daon), koja je izdala set uputstava za kontrolu sistema zate COBIT (Control Objec-
ves for Informaon and Related Technology) [19, 27].
Ente za nadzor, kontrolu i reviziju treba da razviju kapacitete, adekvatne veliini,
strukturi i potrebama organizacije. Kbavezu nadzora, kontrole i revizije sistema zate,
treba obuhva u normavno regulisa nacionalnim Zakonom o za informacija. Na
bazi normavnog okvira i usvojenih standarda, svaka organizacija moe izradi Uputstvo
za nadzor, kontrolu i reviziju sistema zate, koje treba da ukljui planiranje, razvoj,
implementaciju, merenje funkcionalnos i poboljanje kapaciteta za nadzor, kontrolu i
reviziju sistema zate IKTS [38].
Glavni mehanizmi za nadzor, kontrolu i reviziju sistema zate IKTS su:
Idenkacija i autenkacija, koja obezbeuje logovanje na sistem i normalno
zahteva da korisnik unese korisniko ime i neki idenkator za autenkaciju. Bez
obzira da li su ove informacije validne ili ne, izvravanje procedure logovanja je kon-
trolni dogaaj, a unesena informacija u log datoteku smatra se kontrolnom informaci-
jom. U sluaju da unesena informacija nije prepoznata kao validna, sistem ne treba da
je evidenra u log datoteku. Razlog za to je, to korisnik moe grekom une lozinku,
kada sistem trai korisniko ime za logovanje. Ako se informacija upie u kontrolni trag,
257
UJJ O FOJ
kompromitovae lozinku i bezbednost sistema. Savremeni KS spreavaju upisivanje lo-
zinke u log datoteku kontrolnih tragova, pa je ovaj rizik izbegnut. Prednost registrovanja
idenkacionih parametara (credenals) je, to olakava otkrivanje pokuaja proboja
sistema zate i identeta napadaa u fazi digitalne forenzike istrage kompjuterskog
incidenta.
Administracija ukljuuje odgovorna lica, koja operavno upravljaju kapacitema i
sprovode procedure za nadzor, kontrolu i reviziju sistema zate [38].
Projekat reenja treba da sadri mehanizam, koji poziva funkciju evidencije kontrol-
nih tragova, na zahtev administratora zate i koji odreuje da li dogaaj treba da bude
unesen u log datoteku kao kontrolni trag. Kontrolori i revizori moraju izabra bezbed-
nosno relevantne dogaaje za registrovanje u log datoteku kontrolnih tragova i rekon-
gurisa log datoteku, na bazi identeta korisnika, bezbednosne klasikacije objekata
IKTS ili procene rizika.
Zata kontrolnih mehanizama i osetljivih podataka kontrolnih tragova u log dato-
teci, od neovlaenog pristupa je obavezna. Uklonjeni mediji, koji sadre kontrolne tra-
gove, moraju se ziki za i odlaga u skladu sa propisanom procedurom zike
zate i saniranja osetljivih elektronskih medija za ponovnu upotrebu. Glavni bezbed-
nosni zahtevi za kontrolni mehanizam i kontrolne tragove su zata od neovlaenog
pristupa, modikacije ili zaobilaenja i akviranje/ dezakviranje kontrolnih meha-
nizma i zata kontrolnih tragova sa NOSSS mehanizmima zate, nepristupanim za
neovlaene korisnike [55].
4.2.2. Planiranje nadzora, kontrole i revizije sistema zatite
Plan ili poboljanje procesa nadzora, kontrole i revizije sistema zate treba da sadri
sledee korake:
a. denisanje misije, ciljeva, obima i granica razvoja kapaciteta,
b. procena tekuih kapaciteta za nadzor, kontrolu i reviziju sistema zate,
c. planiranje procesa nadzora, kontrole i revizije i
d. planiranje sistema za merenje i monitoring rezultata kontrole i revizije.
a. Denisanje misije, ciljeva, obima i granica za razvoj kapaciteta za nadzor, kontro-
lu i reviziju sistema zate, treba planira najmanje za tri godine sa eksplicitnim
navoenjem odgovornos menadera i izvrioca, idenkovanjem pova alata,
potrebnih znanja, vena i obuke kontrolora i revizora. Najznaajniji ciljevi su: obez-
bedi podrku za poboljanje procesa, dopuni proces sa procenom efekvnos siste-
ma zate, obezbedi nezavisnu reviziju zate za procenu rizika, podra zahteve za
korporacijsku digitalnu forenziku istragu, obezbedi podrku za analizu i ekstrakciju
podataka i obezbedi miljenje revizora zate u procesu razvoja sistema zate. U
izgradnji kapaciteta za nadzor, kontrolu i reviziju zate treba: proceni kapacitete i
258
KO FOJ
rentabilnost implementacije sa dam resursima, konsultova zakon za kompjuterski
kriminal, denisa potencijalne odgovornos, izvri bezbednosnu proveru (poseb-
no TTPS) i razmotri zakon za obavezan pristup informacijama [35].
Denisanje obima i granica nadzora, kontrole i revizije zate ukljuuje relevantne
uesnike i kapacitete za izvravanje zadataka. Kontrolor i revizor prikupljaju infor-
macije o infrastrukturi IKTS na osnovu upitnika [63]. U praksi zate, organizacije
vlasm kapacitema, uglavnom, planiraju samo proces nadzora, interne kontrole i
revizije, dok regularnu godinju reviziju (audit) vre spoljni, nezavisni i akreditovani
revizori ili revizorski movi.
b. Procena postojeih kapaciteta za nadzor, kontrolu i reviziju sistema zate ukljuuje
idenkaciju objekata IKTS i bezbednosnog rizika procesa revizije, kao prvi korak.
Teko je oekiva da jedan revizor ima sva potrebna znanja i sposobnos, pa se
preporuuje formiranje ma. Sakupljanje i dokumentovanje informacija o sistemu,
podacima i aplikacijama moe da obuhva brojna pitanja, kao to su: znaaj i prirodu
programa i servisa sistema zate, osetljivost (CIA) procesiranih informacija, pove
raunara za procesiranje, specine plaorme, uslune programe, alate za restrikciju
pristupa programima i podacima, nivo umreavanja, barijere i druge mrene ureaje,
pove i obim vanijih komercijalnih i programa razvijenih u organizaciji, nain i mes-
to unosa podataka i izvetavanja, priblian broj transakcija i vrednos koje procesira
svaki sistem, organizacione promene i kljuni personal zaposlen u IKTS, oslanjanje na
druge organizacije u procesiranju, rezultate poslednje revizije i usaglaenost.
Formiranje ma za reviziju, procena znanja, sposobnos i vena internih i iznajm-
ljenih lanova, kljune su komponente planiranja, izgradnje ili unapreenja kapa-
citeta za reviziju zate. Znanja i vene revizora zate, rangiraju se kao:
strunjak (ekspert) ima veliko iskustvo, moe instruisa druge revizore,
profesionalac moe izvri zadatke revizije bez posebnih priprema,
sposoban veruje da moe izvri zadatke, ali zahteva pomo i
movisan ima jaku elju i interes za scanje znanja i vena za reviziju.
Prol strunjaka najee se odreuje parametrom znanja, vena i sposobnos
KSA (Knowledge, Skills, Abilies), koji se pino koris za opisivanje radnih mesta i
oglaavanje za slobodna radna mesta, ukazujui na zahtevane atribute [18].
Znanje je organizovan i usvojen korpus informacija, injenica, principa/procedura,
ija primena omoguava izvravanje posla i predstavlja osnovu za izgrauju vena
i sposobnos. Vena je sposobnost manuelnog, verbalnog ili mentalnog ma-
nipulisanja ljudima, idejama i stvarima, koja se moe demonstrira. Sposobnost je
mogunost za izvravanje nekih poslovnih funkcija, koristei bitna znanja, a dokazuje
se kroz akvnos, koje se zahtevaju za obavljanje nekog posla [18].
I denkacija i izbor automazovanih alata za reviziju zate, kao i serkovanih revi-
zora, koji poseduju znanje i venu za njihovu upotrebu, krini su faktori za iden-
kovanje ranjivos sistema.
259
UJJ O FOJ
Primer: ala za ekstrakciju podataka u programu za logiku kontrolu pristupa, mogu iden-
kova krenje principa razdvajanja dunos privilegovanih korisnika; krekeri lozinki mogu
idenkova pretpostavljene/slabe lozinke; sniferi mogu idenkova otvoren prenos
lozinki ili osetljivih informacija; skeneri idenkuju zatni prol RS/RM itd.
Veina organizacija koris usluge specijalizovanih revizora/revizorskih organizacija u
procesu izbora adekvatnih automazovanih alata za reviziju sistema zate, kao i u
procesu obuke i izbora revizora za njihovo korienje. Bilo da formira ili modernizuje
kapacitete za reviziju sistema zate, organizacija treba da razvije proces selekcije,
evaluacije i revizije programskih alata za reviziju zate, kroz: istraivanje raspoloivih
alata i izbor iz svake kategorije, razmenu iskustava sa partnerima o pogodnos alata,
odreivanje procesa za kontrolu rentabiliteta alata, potrebe za alama za specine
plaorme, metodologije za evaluaciju, izbor i razvoj procedure za obuku korisnika.
Razvoj metodologije za izbor i implementaciju programskih alata za reviziju sistema
zate ima viestruke prednos: izabrani alat je koristan za m i proces revizije, ne
gubi se vreme na neadekvatne alate, minimiziraju se organizacioni ucaj i trokovi
obuke, obezbeuju se efekvnije preporuke revizora i obuka i su neophodna zna-
nja revizora/ma. Izbor alata je krian faktor za razvoj kapaciteta za reviziju zate.
Procena trokova procesa revizije nezaobilazno je pitanje, poto obuka, iznajm-
ljivanje konsultanata i odravanje kapaciteta za reviziju zate zahtevaju znaajne
trokove.
c. Planiranje procesa revizije sistema zate moe ukljui sopstvene ili iznajmljene
kapacitete. Krganizacija koja ima razvijene kapacitete za reviziju sistema zate,
treba da denie kriterijume za planiranje i izbor projekata za reviziju, koji mogu
ukljuiva krinost i procenu rizika sistema za reviziju, saradnju vlasnika sistema
za redukciju rizika u toku tesranja, nivo kompleksnos sistema za reviziju, godinji i
kratkoroni plan revizije itd. Generalno, kod planiranja revizije, treba koris rotacio-
ni metod za izbor sistema za regularnu godinju reviziju. Metod je posebno znaajan
za planiranje revizije zate u visoko distribuiranim sistemima.
Za izgradnju ili dogradnju kapaciteta za reviziju sistema zate, zahteva se veliki broj
akvnos, koje variraju u zavisnos od ciljeva revizije. Mogu se razvi radni doku-
men, koji pomau da se uspostave i poveu ciljevi i akvnos i idenkuju potreb-
ni resursi. Resursi za planiranje, razvoj i odravanje kapaciteta za reviziju mogu se
nai na brojnim web lokacijama (www.isaca.org, www.itaudit.org, www.auditnet.
org,www.cert.org, www.sans.org).
d. Planiranje procesa merenja i monitoringa rezultata revizije obavezno je za revizor-
ske organizacije, radi procene i poboljanja performansi sistema za reviziju. Treba
jasno denisa misiju i ciljeve revizije i uspostavi dugoroni/kratkoroni plan rada.
Rezultate merenja performansi sistema za reviziju treba poredi sa uspostavljenim
ciljevima i izvetava o progresu.
260
KO FOJ
Primeri ciljeva revizije zate: regularna revizija, evaluacija rezultata i preporuke; evalu-
acija usaglaenos rezultata revizije i standarda/zakona; atrakvnost kapaciteta za reviziju
za visoko kvalikovane, movisane i posveene strunjake; poverenje, otvorenost komu-
nikacije i profesionalni rezulta u radnom okruenju itd. [35].
U procesu revizije treba denisa sistem indikatora performansi (benmarking
sistem) internih i eksternih kapaciteta za reviziju.
Primer: benmarking kompetentnos ma za reviziju, zahteva da svako IKT odeljenje ima
65% revizora sa serkatom CISA (Cered Informaon Systems Auditor) ili diplomom
informaara ili menadera IKTS.
Evaluaciju procesa revizije treba vri periodino da bi se procenio stvarni progres
u poszanju dugoronih ciljeva revizije. Procenu korisnike prihvatljivos procesa
i servisa revizije, treba vri u regularnim intervalima, da bi se idenkovale sla-
bos i postavili ciljevi za poboljanje kapaciteta za reviziju. U entetu gde se vri
revizija treba izvri anketu za procenu profesionalizma ma za reviziju, tehnikog
razumevanja oblas revizije, komunikacionih sposobnos revizora, efekvnos
korienja raspoloivih resursa, sposobnos odravanja pozivnih i produkvnih
odnosa i profesionalizma u izvetavanju o nalazima revizije. Izvetaje o progresu pro-
cesa revizije, dostavlja menadmentu kontrolisane organizacije i, zavisno od nalaza,
inicira odgovarajue akcije. Primeri ciljeva i metrike revizije sistema zate prika-
zani su u Tabeli 4.1.
Tabela 4.1. Ciljevi i metrike kontrole i revizije sistema zate
Cilj revizije sistema zate Metrika
Vreme revizije ne premauje
budet vie od 10%
Akumulira sva realna vremena, uporedi sa nansiranim
vremenom revizije i odredi kumulavni premaaj/
podbaaj za sve izvrene procese revizije
90% procesa revizije zavri u
datom roku (npr. 6 meseci)
Kdredi % procesa revizije zavrenih u speciciranom roku
(na bazi izvetaja)
80 % izvetaja izradi 30 dana
od zavretka revizije
Kdredi % izvetaja dostavljenih u planiranom roku (od
zavretka revizije do dostavljanja izvetaja)
90 % preporuka iz izvetaja
treba da prihva menadment
Kdredi % preporuka iz izvetaja prihvaenih u formalnom
odgovoru menadmenta
Implemenra 60 % pre-
poruka iz izvetaja u nekom
periodu
Kdredi procenat preporuka iz izvetaja, implemenranih u
odreenom periodu
261
UJJ O FOJ
Glavni kriterijumi za ocenu rezultata revizije, za denisane strateke ciljeve su
poboljanje sistema, procesa i metodologije zate. Izvetaj o rezultama revizije,
koji revizor dostavlja u planiranom roku menadmentu kontrolisane organizacije,
treba da sadri: ciljeve, period rada, prirodu i obim izvrenih akvnos, primenjene
standarde, organizaciju i lica kojima se dostavlja, eventualne restrikcije o cirkulisanju,
nalaze, zakljuke i preporuke, sve rezerve ili kvalikacije koje revizor ima u odnosu na
proces revizije i iskaz da li su u procesu revizije i izvetavanja otkrivene informacije,
koje mogu kompromitova kontrolisani sistem. Za merenje akvnos posle procesa
revizije zahteva se uspostavljanje procedure za preduzimanje akcija.
4.3. REZIME
Glavni principi, koji obezbeuju uspostavljanje ekasnih i efekvnih kapaciteta (re-
vizora/ma, tehnika i alata, resursa za podrku) za kontrolu/reviziju zate IKTS, obuh-
vataju: planiranje i denisanje funkcija i ciljeva, mehanizama, korisnika mehanizama i
drugih aspekata procesa za kontrolu/reviziju zate.
Na bazi normava i standarda treba denisa, vlaste ili iznajmljene, kapacitete za
reviziju zate planira proces revizije i izradi Uputstvo za nadzor, kontrolu i reviziju
zate IKTS, koje mora obuhva, najmanje, procese planiranja, razvoja kapaciteta, im-
plementacije mehanizama i nadzora funkcionisanja i evaluacije kvaliteta procesa i rezul-
tata kontrole/revizije. Za izradu plana, modikaciju ili poboljavanje procesa kontrole/
revizije, treba denisa misiju i ciljeve razvoja kapaciteta, proceni postojee kapac-
itete, planira dinamiku procesa, poveza ciljeve sa akvnosma procesa i obezbedi
istraivanje i obuku za kontrolu/reviziju.
Kljuna komponenta kapaciteta je m za kontrolu/reviziju, ukljuujui procenu znan-
ja, sposobnos i vena KSA kontrolora/revizora prema skali: profesionalac, strunjak,
osposobljen i jako zainteresovan. Za poslove kontrole/revizije potrebni su veliko iskust-
vo i specine vene.
Razvoj metodologije za izbor i implementaciju soverskih alata za reviziju sistema
zate ima viestruke prednos za formiranje ili modernizuju kapaciteta za reviziju. Re-
vizorske organizacije, treba da monitoriu funkcionisanje procesa revizije, mere perfor-
manse i rezultate svakog procesa i izaberu indikatore progresa procesa revizije. Revizor/
m dostavlja izvetaj o reviziji, poverljivim kanalima, uz garanciju da proces revizije nije
kompromitovao kontrolisani IKTS, a rezulta i komentari ostaju u vlasnitvu kontroli-
sanog enteta. Posle dostavljanja izvetaja treba uspostavi proceduru, koja obavezuje
menadment kontrolisanog enteta da preduzme odgovarajue akcije u predvienom
roku, a na bazi nalaza i preporuka revizora.
262
KO FOJ
Bezbednosnorelevantni dogaaj (Security
Relevant Event): dogaaj koji pokuava da
izmeni bezbednosno stanje sistema ili narui
poliku zate sistema.
Kontrolni dogaaj (Auditable Event): dogaaj
koji se moe izabra i logova u datoteku kon-
trolnih tragova, kao bezbednosno relevantan
za oporavak sistema.
Mehanizam za reviziju (Audit Mechanism):
hardversko soverski modul koji se koris za
skupljanje, pregled i/ili ispivanje akvnos
sistema.
Kontrola sistema zate (Security System
Control): povremena analiza rezultata nadzora
sistema zate.
Kontrolni trag (Audit Trail): skup registrovanih
podataka koji obezbeuju dokumentovane
dokaze o procesima za praenje traga od origi-
nalne transakcije do odnosne snimljene infor-
macije i izvetaja, ili unazad od snimljene in-
formacije i izvetaja do izvora transakcije.
Nadzor sistema zate (Security System Moni-
toring): neprekidna akvnost opservacije
funkcionisanja mehanizama i servisa zate.
Revizor (Auditor): ovlaeno lice sa pravima
izbora dogaaja za reviziju, podeavanja siste-
ma za registrovanje h dogaaja i analize kon-
trolnih tragova.
Revizija (Audit): proces interne ili eksterne
(nezavisne) tehnike revizije i ispivanja ser-
visa, mehanizama, prakse, procesa upravljanja
i dokumentacije sistema zate.
1. Kljuni bezbednosni ciljevi nadzora, kon-
trole i revizije sistema zate su da:
a. proveri ispravnost rada i korienja
razliih mehanizama vieslojne zate
b. omogui podizanje sves o potrebi
zate i odvraanje napadaa
c. obezbedi dodatni faktor poverenja
korisnika u sistem zate
d. obezbedi kontrolu i reviziju obrazaca
i istorije pristupa objekma IKTS
specinih procesa i korisnika
e. obezbedi kontrolu i reviziju obrazaca
ponovljenih pokuaja ovlaenih i
neovlaenih korisnika da zaobiu me-
hanizme zate i korienja privilegija
2. Glavni bezbednosni zahtevi za mehanizam
za kontrolu i reviziju sistema zate:
a. mehanizam za registrovanje kon-
trolnih tragova mora bi zaen od
neovlaenog pristupa, modikacije ili
zaobilaenja
b. kontrolni trag zaen sa NKSSS me-
hanizmom od neovlaenog pristupa i
izmene
c. akviranje/dezakviranje mehanizma
za reviziju treba da bude deo NKSSS
mehanizama zate i nepristupaan za
neovlaene korisnike
d. kontrolni trag transparentan i na raspo-
laganju svim korisnicima IKTS
3. Za izradu plana ili poboljavanje procesa
nadzora, kontrole i revizije zate treba:
a. denisa misiju, ciljeve, obim i granice
razvoja kapaciteta za kontrolu/reviziju
b. denisa preostali, prihvatljivi rizik
c. proceni vlaste kapacitete za kon-
trolu/reviziju sistema zate
d. planira proces kontrole/revizije sopst-
venim ili iznajmljenim kapacitema
e. planira proces za serkaciju sistema
zate i
263
UJJ O FOJ
f. planira sistem merenja procesa kon-
trole/revizije i monitoringa rezultata
4. Strunjak (ekspert) u za ima sledea
znanja, sposobnos i vena:
a. ima jaku elju i interes za scanje
znanja, vena i sposobnos
b. moe izvri zadatke kontrole sistema
zate bez posebnih priprema
c. ima veliko iskustvo, moe instruisa
druge za izvravanje zadataka
d. veruje da moe izvri zadatke kon-
trole, ali zahteva pomo ili vreme za
pripremu
5. Profesionalac u za ima sledea znanja,
sposobnos i vena:
pripremu
6. Sposoban u za ima sledea znanja,
sposobnos i vena:
pripremu
7. Movisan u za ima sledea znanja,
sposobnos i vena:
pripremu
8. Tipini ciljevi uspostavljanja kapaciteta za
kontrolu i reviziju zate IKTS su:
a. obezbedi podrku za poboljanje proc-
esa planiranja zate
b. podra performanse procesa ser-
kacije i akreditacije sistema zate
c. dopuni proces kontrole i revizije sa
procenom efekvnos sistema zate
d. obezbedi nezavisnu kontrolu i reviziju
za izradu polike zate
e. podra zahteve za korporacijsku digi-
talnu forenziku istragu i analizu
f. obezbedi podrku za sosciranu
analizu i ekstrakciju podataka
g. obezbedi miljenje revizora zate u
procesu razvoja sistema zate
9. Izvetaj o rezultama revizije treba da
sadri:
a. ciljeve, period rada, prirodu i obim
izvrenih akvnos
b. primenjene standarde, restrikcije,
nalaze, zakljuke i preporuke
c. izmene plana i polike zate
d. otkrivene informacije, koje mogu kom-
promitova kontrolisani sistem
10. Glavni kriterijumi za ocenu rezultata
revizije zate IKTS, za denisane strateke
ciljeve, su:
a. nansijska dobit
b. poboljanje sistema zate
c. poboljanje procesa zate
d. poboljanje metodologije zate
264
KO FOJ
5.
UPRAVLJANJE KOMPJUTERSKIM
INCIDENTOM I VANREDNIM DOGA0AJEM
5.1. UVOD
Kompjuterski incident (KI), nastao zbog namernih malicioznih, tehnikih akvnos-
iznutra ili spolja, moe ima nepredvidljive posledice i potrebno ga je kontrolisa.
Denicija bezbednosnog KI je eksibilna kod veine autora i varira, u zavisnos od or-
ganizacije i IKTS okruenja. Za reakvne sisteme zate rentabilno je razvi stacionarne
kapacitete za brzo otkrivanje i reagovanje na KI. U proakvnom sistemu zate znatno
je vea verovatnoa spreavanja tetnog ucaja KI. Veina bezbednosnih KI ue na
poslovanje organizacije. Najee, ucaj KI je relavno mali, a trajanje relavno kratko.
Sa porastom zavisnos poslovanja od IKTS, ucaj KI raste, a tolerancija na bilo kakve
smetnje se smanjuje. Ucaj ili posledice KI, mogu se smanji na vie naina. Upravljan-
jem kompjuterskim incidentom tesno je povezano sa planiranjem vanrednih dogaaja
(VD), ali ga treba odvojeno planira, da bi se smanjila kompleksnost upravljanja. Proces
upravljanja KI obuhvata uspostavljanje kapaciteta i upravljanje specinim povima KI.
Planiranje VD ukljuuje vie od samog planiranja evakuacije izvan zone u kojoj je
uniten IKTS centar ili drugi kapacite organizacije. Plan obuhvata i kako neka organizaci-
ja odrava krine funkcije IKTS u operavnom stanju u vanrednim uslovima i nastavlja
poslovanje. U veini krinih situacija za pine poslovne IKTS, potrebno je uspostavi
lanac upravljanja i obezbedi svest menadmenta o potrebi izgradnje kapaciteta orga-
nizacije za ekasno reagovanje na KI i VD. U kategoriju VD u IKTS, mogu se svrsta sve
prirodne katastrofe, nestanak elektrinog napajanja, trajkovi i odsustvo zaposlenih sa
posla, kvarovi sistema za grejanje/hlaenje, op kvarovi opreme i dr. Kvi su dogaaji
sluajni po svojoj prirodi i tetne posledice njihovog ucaja, mogu se smanji samo
planiranjem, uspostavljanjem kapaciteta za upravljanje VD, uvebavanjem scenarija VD
i oporavkom sistema. Neke od brojnim napada, zloupotreba IKTS i posledica prirodnih
dogaaja, mogu se ksira kroz standardne procedure administracije.
265
UJJ O FOJ
5.2. KOMPJUTERSKI DOGA0AJ I KOMPJUTERSKI INCIDENT
Kompjuterski dogaaj je bilo koje uoljivo deavanje i sistemski dogaaj, registro-
van u log datoteci u RS/RM. Kompjuterski incident (KI) je dogaaj sa negavnim pos-
ledicama (pad RS, zaguenje saobraaja RM, eskalacija privilegija i sl.). Upravljanje KI
obuhvata sve dogaaje tetne za bezbednost IKTS. Denicija KI je evoluirala od bez-
bednosno relevantnog dogaaja koji dovodi do gubitka CIA informacija, do denicije
u Internet okruenju povreda ili imanentna pretnja za povredu i/ili primenu polike
zate [45].
Kako su KI neizbeni i predstavljaju nepoznatu pretnju, zahteva se struktuirana pro-
cedura za kontrolu i upravljanje. Brojne tehnike specikacije KI dostupne su na web
lokacijama [29]. Svi KI nisu bezbednosno relevantni, pa je vano sa sigurnou iden-
kova izvor i prirodu KI. Generika podela incidenta je na one koji ne predstavljaju
glavnu pretnju i one koji mogu izazva zaustavljanje poslova organizacije. Vano je
izvri paljivu trijau KI, po znaaju za funkcionisanje poslovnog sistema. U procesu
inicijalne istrage KI, treba pretpostavi da je sistem zate probijen i utvrdi tetu. Pro-
gram za upravljanje KI treba da ukljuuje denisanje adekvatnih mera zate, prioritete
reagovanja i oporavka sistema. U praksi zate KI se retko na vreme prijavljuje, jer ga or-
ganizacije pokuavaju reava interno, sakri od javnos i sl. U odreenim sluajevima,
gde postoji oigledna teta, kompromitacija ili zakonska odgovornost, izvetavanje o KI
mora bi izuzetno brzo.
5.2.1. Politika i procedure za upravljanje incidentom
Polika za upravljanje KI, internim ili iznajmljenim kapacitema, u veini organizacija
obuhvata iste kljune elemente: izjavu menadera o angaovanju; namenu i ciljeve;
obim i granice; idenkaciju prirode KI i posledica u kontekstu organizacije; strukturu,
uloge i odgovornos interventnog ma; nain i formu izvetavanja; prioritete saniranja
i metriku performansi kapaciteta za upravljanje KI. Procedure za upravljanje KI detaljno
objanjavaju specine akvnos procesa, tehnike, ek liste i formulare, koje koris
interventni m. Pre distribucije, proceduru treba tesra i verikova, izvri obuku
i pripremi instrukciju za primenu. Kako se KI moe dogodi na bezbroj naina, nije
prakno razvija preciznu korakpokorak proceduru [35, 45].
5.2.2. Kategorije bezbednosnog kompjuterskog incidenta
Generalno, organizacija se moe pripremi za upravljanje sa bilo kojim pom KI, a
specino sa poznam povima. U praksi zate jo uvek nema konsenzusa o naj-
boljoj taksonomiji KI. Najea podela (nije konana) je, na bazi primarnih kategorija
266
KO FOJ
napada, na posledice: odbijanja izvravanja servisa, napada malicioznih programa,
neovlaenog pristupa, nepropisnog korienja IKTS i kombinovanih napada. Neki KI
mogu se svrsta u vie od jedne kategorije. Kva podela je pre osnovno uputstvo za
upravljanje KI [45, 72].
5.2.3. Nagovetaji kompjuterskog incidenta
Glavni problem upravljanja KI je donoenje odluke da se incident dogodio, kojeg je
pa i intenziteta i kolika je teta? Problem je m tei, to KI pino ini kombinaci-
ja raznih faktora (KI mogu detektova razna tehnika sredstva sa razliim nivoima
tanost/pouzdanos, brojni su potencijalni znaci da se KI dogodio itd.) i potrebno je
specino tehniko znanje i veliko iskustvo za analizu nagovetaja - predznaka i indika-
tora KI [35].
Predznak KI je nagovetaj da se neki incident moe dogodi u bliskoj budunos,
na primer: log datoteka u web serveru pokazuje korienje skenera ranjivos Web
servera itd. Svaki napad se ne moe detektova kroz predznake, neki napadi nemaju
predznake, dok drugi generiu predznake, koje organizacija ne uspeva detektova.
Ako se predznaci detektuju, organizacija ima priliku da izmeni sistem zate i sprei na-
pad. Indikator KI je znak da se neki incident vrlo verovatno dogodio ili se upravo dogaa,
na primer: mreni IDPS alarmira da je neki bafer preplavljen pokuajima napada na web
server, AVP alarmira prisustvo virusa/crva, pad web servera itd. Predznaci i indikatori
KI idenkuju se iz vie razliih izvora, od kojih su najei alarmi soverskih mehani-
zama zate RS/RM, log datoteke, javno raspoloive informacije i ljudi. Najei izvori
indikatora i predznaka za svaku kategoriju KI, kontrolne liste za odreivanje kategorije
KI i analizu predznaka i indikatora, kao i generika procedura za upravljanje KI, da su u
literaturi [35, 45].
5.2.4. Upravljanje kompjuterskim incidentom
Cilj upravljanja KI je, da se ogranii mogunost upada u sistem kroz prevenvnu
zatu, tesranje otpornos sistema na proboj, skeniranje ranjivos sistema i IDPS, kao i
da se obezbedi laki istrani postupak kada se incident dogodi. ivotni ciklus upravljanja
KI pino ima eri faze [35, 45, 72]: (1) priprema, (2) detekcija, prijava i analiza, (3)
saniranje posledica i oporavak sistema i (4) analiza iskustava (Sl. 5.1a). Proces uptravl-
janja bezbednosnim KI prikazan je na slici 5.1.b.
U pripremnoj fazi uspostavljeni sistem zate i interventni m CIRT (Computer In-
cident Response Team) prevenvno spreavaju KI [7]. Primarni ciljevi razvoja kapaciteta
za upravljanje KI su: (1) reagovanje na KI, (2) saniranje tete i (3) oporavak sistema.
Kapacite za upravljanje KI, moraju bi prevenvno implemenrani i spremni da po
potrebi obezbede: brzo reagovanje, koordinaciju akvnos ma, izvetavanje o KI, opo-
267
UJJ O FOJ
ravak sistema i spreavanje ili minimizaciju potencijalne tete. Podaci o KI i korekvnim
akcijama se skupljaju i skladite u bazu podataka i analiziraju za formiranje obrazaca
ponaanja prol KI, npr. najeeg pa virusa i napadanog sistema, najbolje korekvne
akcije.
a)
b)
Sl. 5.1. ivotni ciklus - (a) i proces upravljanja bezbednosnim incidentom (b)
Iako nije odgovoran za spreavanje KI, CIRT ini glavnu komponentu kapaciteta za
upravljanje incidentom. Ekspertska znanja lanova ma dragocena su za poboljanje
sistema zate i dokazivanje zloupotrebe ili kompjuterskog kriminala. lanovi ma su
pino specijalis za mrenu tehniku, plaorme i komunikacije i treba da su na raspo-
laganju 7x24 sata i ziki dostupni to je mogue bre; da imaju specina znanja,
vene i sposobnos za upotrebu neke tehnologije za upravljanje incidentom, digitalnu
forenziku istragu, akviziciju i analizu digitalnih podataka, mski rad i dobru komunikac-
iju sa razliim uesnicima. Modeli struktura CIRT za upravljanje KI mogu se svrsta u tri
kategorije [57, 61]:
268
KO FOJ
centralni CIRT, koji upravlja KI u celoj organizaciji, ekasan je za male i vee organizacije
sa malom distribucijom objekata IKTS;
distribuirani CIRT, koji upravlja KI u loginim ili zikim segmenma organizacije, kao
deo jednog enteta i procesa upravljanja;
koordinacioni CIRT, koji savetodavno vodi rad drugog ma.
Tipian model popune CIRT ukljuuje interno zaposlene sa ogranienom pomoi
spolja, delimino iznajmljene usluge ili potpuno iznajmljen m spoljnih saradnika. Dobri
kapacite za upravljanje KI treba da poseduju nekoliko kljunih karakteriska: razume-
vanje obima i granica procesa upravljanja i upotrebe kapaciteta, obrazovnu komponen-
tu, sredstva za centralizovano upravljanje (komunikaciju i izvetavanje), specijaliste za
primenjene tehnologije i dobre veze sa entema koji mogu pomoi u upravljanju KI.
Obim i granice upotrebe kapaciteta za upravljanje KI ne obuhvataju uvek celu orga-
nizaciju. Kapacite za upravljanje KI obuhvataju tehnologiju, korisnike IKTS i menadere.
Obuka korisnika ima za cilj da se smanji kompleksnost, povea korisnika prihvatljivost
i obezbedi izvetavanje po prioritema. Centralizovano upravljanje obezbeuje ekas-
no i efekvno upravljanje KI, a uspeh zavisi od blagovremenog izvetavanja. Ako je KI
hakerski napad, treba koris kriptozaen sistem za izvetavanje, analizu i uvanje
informacija o incidentu. Tehnologija za upravljanje KI treba da ukljuuje i specine
forenzike alate. Veina CIRT formira prenosivi komplet za istragu kompjuterskog inci-
denta, u kojem se nalaze osnovni forenziki ala - laptop raunar sa brojnim programi-
ma, ureaji za bekapovanje, is e-mediji, bazina oprema i kablovi za umreavanje,
mediji sa KS i aplikacijama [35].
U fazi detekcije i analize incidenta, kao osnovni ala, koriste se IDPS sistemi za de-
tekciju i spreavanje povrede sistema zate. Detektorski i prevenvni ala obezbeuju
kontrolu neregularnih promena stanja u sistemu i obavljaju inicijalnu evaluaciju kon-
guracije sistema. Prikupljaju informacije o napadu i napadau, koje su korisne za
forenziku istragu i analizu. Dobro upravljanje upadom u IKTS, prevenva je svih poten-
cijalnih problema i omoguava pokretanje istrage o KI. Meum, IDPS sistemi proizvode
veliki broj lanih poziva, pa ne znai da se KI dogodio, ak i kada je neki indikator taan.
Pametno je sumnja u svaki KI i smatra da se dogaa, sve dok se ne pojave indikatori
da se ne dogaa. Za efekvno upravljanje KI preporuuje se proces korporacijske digi-
talne forenzike istrage KI, koji obuhvata faze pripreme i podnoenja zahteva za istragu,
akviziciju digitalnih dokaza, idenkaciju incidenta i napadaa i forenziko uvanje i ru-
kovanje digitalnim dokazima [35].
Saniranje posledica KI i oporavak sistema ukljuuje razvoj metoda za saniranje po-
sledica, najmanje od svih pova glavnih kategorija KI. Za bre odluivanje treba doku-
mentova kriterijume za odreivanje metoda za saniranje KI, koji ukljuuju: potencijalna
oteenja i krau objekata informacione imovine, obavezu uvanja dokaza za forenziku
analizu i vetaenje, raspoloivost servisa, vreme i resurse potrebne za implementaciju
269
UJJ O FOJ
metoda, efekvnost metoda (npr. sanira delimino ili potpuno) i vreme trajanja reenja
(npr. hitno mora se ukloni za eri sata; privremeno uklanja se za dve sedmice; per-
manentno) i dr. U fazi oporavka, treba eliminisa preostale komponente KI, izbrisa ma-
liciozne kdove i dezakvira probijene korisnike naloge. &aza oporavka moe ukljui:
restauraciju sistema iz bekapa, zamenu kompromitovanih datoteka, instalaciju poprav-
ki, izmenu lozinki i poveanje zate perimetra RM, rekongurisanje sistema logovanja
ili monitoringa RM i forenziku analizu digitalnih podataka za otklanjanje pravog uzroka
KI.
Analiza iskustava, iako je najvanija faza procesa upravljanja KI, esto se zanema-
ruje, a ukljuuje: p i vreme KI, ponaanje menadmenta i zaposlenih, dokumentaci-
ju i adekvatnost procedura, potrebne informacije po izbijanju KI, preduzete akcije za
spreavanje i oporavak, iskustva za rad i korekvne akcije za spreavanje budueg,
slinog KI i potrebne resurse za detekciju, analizu i saniranje novog KI. Mali inciden ne
zahtevaju posebnu analizu u ovoj fazi, osim ako ne otkrivaju nepozna metod napada.
Ako se dogodi ozbiljan napad, uvek je korisno izvri detaljnu muldisciplinarnu analizu
[35].
Kompleran izvetaj o analizi KI treba koris za obuku, auriranje polike i dokume-
nata, popravku procedura, izradu pojedinanih analikih izvetaja, izradu hronologije
dogaaja iz log datoteka za dokazni postupak itd. Na bazi normavnih zahteva, pre-
thodnih izvetaja i oekivanja od sakupljenih podataka, organizacija odluuje, koji se
podaci o KI uvaju. Treba sakuplja podatke, relevantne za upravljanje KI i dokazivanje
pred sudom.
Podatke, koji se odnose na KI mogue je meri na vie naina: broj saniranih KI,
utroeno vreme po KI, objekvna procena svakog KI, subjekvna procena svakog KI,
periodina revizija programa za upravljanje KI i trokovi uvanja i zadravanje dokaza,
koji prema nacionalnom zakonu mogu bi: pino od jednog meseca do jedne godine,
u sluaj sudskog procesa do kraja procesa, podataka e-pote do sto osamdeset dana,
a podataka o glavnom incidentu do tri godine.
5.3. PLANIRANJE VANREDNIH DOGA0AJA U IKTS
Planiranje VD i konnuiteta poslovanja najsloeniji je deo posla. Kada organizacija
odlui kako e nastavi poslovanje, primena plana je tada relavno lak zadatak. Proces
planiranja VD obuhvata sledee faze: (1) idenkovanje funkcija IKTS, krinih za kon-
nuitet poslovanja, (2) idenkovanje resursa, koji podravaju krine IKTS servise, (3)
procenu potencijalnih VD, (4) izbor strategije i (5) implementacija plana za upravljanja
VD u IKTS [15, 45].
(1) Idenkovanje funkcija IKTS krinih za misiju organizacije osnovni je preduslov
za planiranje konnuiteta poslovanja. Kriterijumi za odreivanje krinos misije/
270
KO FOJ
poslovanja mogu bi bazirani na vremenu oporavka servisa IKTS, akumuliranom u-
caju ili kombinaciji ovih faktora. Posebno je vano idenkova i proceni promene,
koje VD moe izazva u vanradno vreme. Za veinu funkcija IKTS za podrku po-
slovanja dose se taka u kojoj ucaj VD postaje toliko velik da su bespredmetni
pokuaji odravanja konnuiteta funkcija IKTS. Kigledno, krine funkcije IKTS tre-
ba oporavi, pre nego to se ova taka dosgne. U procesu upravljanja VD, vreme je
krian faktor i vano je to ranije idenkova implikacije vremena na proces, kao i
odreivanje prioriteta saniranja posledica. Potpuna redundantnost za svaku krinu
funkciju, skupa je za veinu organizacija. U sluaju katastrofe, odreene IKTS funkcije
nee se izvri. Ako se odrede priorite, poveava se sposobnost organizacije da
preivi VD [45].
(2) Idenkovanje resursa, koji podravaju krine IKTS servise, ukljuujui i potrebno
vreme za resurse stalno ili povremeno i ucaj neraspoloivos resursa na misiju/
poslovanje. Planiranje VD u IKTS treba da obuhva sve resurse, koji su neophodni da
se poslovni proces izvri. Kada se dogodi VD u organizaciji neki ucaj se ispolji odmah
i veoma je skupo sprei ga, ako ne i nemogue. Vei broj ucaja dogaa se posle iz-
vesnog vremena. Neki od ovih ucaja mogu se odloi, preduzimanjem odgovarajuih
akcija, neki sasvim otkloni, a neki se ne mogu sprei. Denisanje neophodnih
resursa za suzbijanje posledica VD treba da vre ona lica koja znaju kako se izvravaju
servisi IKTS i kako objek IKTS zavise od drugih resursa, kao i druge krine zavisnos,
poto svi resursi nisu krini za izvravanje najbitnijih poslovnih procesa. esto je
neophodno formira m za planiranje VD, da bi se odredili potrebni resursi i razumeli
krini servisi IKTS, koje oni podravaju. Tipian m ukljuuje izvrne, IKTS i glavne
menadere organizacije, a drugi lanovi se pozivaju se po potrebi. Timom najee
rukovodi koordinator za upravljanje VD, koga imenuje menadment organizacije.
Problem je to menaderi razliito vide i idenkuju IKTS resurse ili previaju inter-
akciju svih resursa, koji podravaju krine poslovne procese, od kojih svi nisu is
IKTS resursi. Potrebni resursi za podrku krinih servisa IKTS za planiranje VD mogu
se svrsta u est glavnih kategorija: ljudi, kapacite za procesiranje, servisi, podaci i
aplikacije, zika infrastruktura i dokumentacija [64, 35]:
1. Ljudski resursi, najvaniji za svaku organizaciju, obuhvataju administratore,
specijaliste zate, operatere i korisnike.
2. Kapacite IKTS za procesiranje tradicionalno su prioritetni za planiranje VD.
Iako je bekapovanje IKTS glavna akvnost, vana su i alternavna reenja.
3. Aplikacije i podaci IKTS su najkrinija imovina, jer neposredno podravaju
misiju i tekue poslovne procese organizacije.
4. Servisi IKTS podravaju brojne poslovne procese, a najvaniji su komunikacio-
ni (za prenos podataka) i informacioni servisi (on-line web servisi, e-trgovina,
baze podataka, e-bilteni itd.).
5. Fizika infrastruktura IKTS obezbeuje radno okruenje, odgovarajuu opre-
mu i alate, neophodne za efekvan rad zaposlenih.
271
UJJ O FOJ
6. Dokumentacija i e-evidencije, koje podravaju veinu servisa IKTS, mogu bi
znaajni i za legalne potrebe istrage kompjuterskog kriminala.
(3) Procena potencijalnih VD u IKTS i njihovih posledica prethodi razvoju scenarija ireg
spektra VD. Scenario treba da ukljui male i velike VD i vano je izbei razvoj planova
za svaki pojedinani scenario VD. Tipian scenario treba da ukljui odgovore na pi-
tanja za sve relevantne resurse [7, 35]:
1. Ljudski resursi: Mogu li zaposleni doi na posao? Koji zaposleni ima krina
znanja i vene? Mogu li se zaposleni lako evakuisa na rezervnu lokaciju?
2. Kapacitet za procesiranje: Da li je IKTS ugroen? ata se dogaa ako neki od
sistema nije u upotrebi? Postoji li lista prioritetnih akcija? Koje veze postoje?
3. Aplikacije i podaci IKTS: Da li je ugroen integritet podataka? Da li je neka ap-
likacija IKTS saborana? Moe li neka aplikacija radi na drugoj plaormi?
4. Servisi IKTS: Moe li IKTS komunicira sa drugima i kojim sistemima? Mogu
li ljudi komunicira? Koliko dugo/esto su IKTS servisi u prekidu? Mogu li se
koris usluge iznajmljenih udaljenih transakcija?
5. Fizika infrastruktura IKTS: Imaju li zaposleni mesta, alate i opremu za rad?
Mogu li zaposleni zaposes zgradu za rad i da li postoji infrastruktura (voda,
kanalizacija, venlacija, grejanje, hlaenje)?
6. Dokumentacija: Mogu li bi pronaena potrebna elektronska dokumenta i da
li su itljiva?
(4) Izbor strategije za upravljanje VD: u evaluaciji rezervnih lokacija, potrebno je razmo-
tri koje su kontrole zate instalirane za spreavanje i smanjenje ucaje VD na IKTS.
Poto ni jedan skup kontrola zate ne moe rentabilno sprei sve potencijalne VD,
u sistemu zate treba koordinira prevenvne mere za oporavak sistema. Glavna
strategija svakog plana za upravljanje VD u IKTS treba da sadri [3]:
1. hitne intervencije inicijalne akcije za zatu ljudskih ivota i smanjenja tete;
2. oporavak sistema akcije za obezbeivanje konnuiteta krinih funkcija i
3. konnuitet poslovanja povratak IKTS u normalni reim rada.
Kdnos izmeu oporavka i konnuiteta rada IKTS je veoma vaan. ato je due potre-
ban konnuitet rada sistema, to e due organizacija mora da radi u modu opo-
ravljenog sistema. Kporavak sistema nije cilj sam po sebi, a konnuitet normalnog
rada sistema, ukljuujui povratak u rekonstruisanu ili novu lokaciju, uvek se mora
dogodi. Povratak i premetanje operacija IKTS uvek izazivaju neke prekide. &aza
povratka u normalni reim rada treba da bude ukljuena u sveobuhvatni plan za VD.
Neke organizacije proces upravljanja VD dele na hitne intervencije, operacije beka-
povanja i oporavak sistem, to nije presudno za uspeno upravljanje VD. Vano je da
ove faze sadre ozbiljan plan.
Izbor strategije zasniva se na praknoj analizi IKTS, ukljuujui izvodljivost i trokove.
Za donoenje odluke o opmalnoj strategiji treba analizira svaku od kategorija
272
KO FOJ
resursa IKTS, opcije oporavka, rentabilnos i rizika. Teite analize je na oblasma
gde nije jasno koja je strategija najbolja [3]:
1. Ljudski resursi, u glavnom VD mogu bi pod znaajnim stresom ili u panici.
Ako je dogaaj regionalna nesrea, zaposleni prvo brinu za porodice i imov-
inu, neki ne mogu, a neki nee doi na posao, to znai da treba privremeno
zaposli nova lica. Kvo moe uves rizik i treba ga ukljui u plan za VD.
2. Kapacite za procesiranje IKTS se grupiu u est osnovnih kategorija [64]:
primarna lokacija: postojea zgrada opremljena sa IKTS kapacitema;
hladna lokacija: prazna rezervna zgrada sa osnovnom infrastrukturom za
smetaj opreme IKTS, koja se lako moe adapra u sluaju VD;
vrua lokacija: zgrada na rezervnoj lokaciji opremljena sa hardverom, so-
verom i mrenom instalacijom, kompabilnom sa primarnom;
redundantna lokacija: zgrada opremljena i kongurisana potpuno jednako
kao primarna;
uzajamno bekapovanje: reciproni ugovori za pomo u sluaju VD; zahteva-
ju esta auriranja i odravanje kompabilnos konguracija IKTS;
udaljena iznajmljena transakcija: iznajmljena organizacija, koja po ugovoru
vri online periodino bekapovanje i oporavak u sluaju VD;
hibridni sistemi: bilo koja kombinacija gornjih kategorija.
Na Sl. 5.2. prikazani su trokovi oporavka sistema u funkciji rezervne lokacije.
Kigledno je da trokovi rastu, ako se eli smanji vreme oporavka [45, 74].
Sl. 5.2. Dijagram trokova bekapovanja i vremena oporavka u funkciji rezervne lokacije
273
UJJ O FOJ
Sistem treba oporavlja prema redosledu zahteva za raspoloivost IKTS kapaciteta
za procesiranje. Ksnovni kapacitet za oporavak IKTS od VD je bekapovanje
podataka i programa izvan primarne lokacije i korienje za oporavak IKTS.
3. Za aplikacije i podatke primarna strategija planiranja VD je regularno bekapova-
nje i skladitenje na alternavnu lokaciju. Vano je odredi koliko esto se vri
bekapovanje zavisi od aurnos, upotrebne vrednos i usklaenos podataka.
U VD ostaje potreba za zatom IKTS, a u nekim sluajevima je i vea, na pri-
mer, zbog deljenja IKTS resursa, koncentracije vie resursa u manjem prostoru ili
angaovanja zaposlenih po ugovoru, koji nisu dovoljno bezbednosno provereni.
U fazi oporavka sistema, oporavljeni podaci zastarevaju za vreme od poslednjeg
bekapovanja do pojave VD. Da bi podaci bili korisni, moraju se ee bekapo-
va. Takoe, da bi oporavljeni IKTS funkcionisao, bitne su usklaenost i aurnost
bekapovanih podataka i sinhronizacija bekapovanih datoteka, uzeh sa razliih
delova IKTS u razliim vremenima. U provnom, mogu nasta problemi i sa re-
startovanjem raunara sa poznatom konguracijom. Strategija bekapovanja IKTS
treba da obezbedi oporavak sistema na najekasniji nain. Bekapovanje podata-
ka, datoteka i aplikacija krian je deo svakog plana za VD [5].
4. Servise IKTS za VD mogu obezbedi i TTPS (telekomunikacioni, Internet) prova-
jderi. Primarna lokacija je obino opremljena za prijem mulmedija. Ako je jedan
ISP izbaen iz rada, moe se koris drugi. Znaajno je idenkova, koji je p
izgubljene komunikacije i da li je u pitanju lokalna ili udaljena veza. Lokalna tele-
fonska veza se moe prebaci na mobilnu, ali je znatno tee prebaci prenos
velike koliine podataka sa ine na beinu vezu. Takoe, nastavak normalnog
rada sistema moe zahteva ponovno preusmeravanje komunikacionih servisa.
Mehanizmi i servisi koji obezbeuju visoku raspoloivost i otpornos IKTS na
otkaze predstavljaju prevenvnu meru za konnuitet poslovanja u sluaju VD.
Primer tehnologije za visoku raspoloivost podataka su RAID (Redundant Array
of Independent Discs) vrs diskovi, koji omoguavaju nastavak rada servera u
sluaju kvara jednog diska, bez gubitaka podataka. Druga tehnologija je klaster
servera koji deli klijentsko optereenje i jo bolje tolerie otkaze od RAID sistema.
Ako otkae jedan server, drugi preuzima i nastavlja rad. Naravno, ovi sistemi su od
male koris, ako su smeteni na istoj lokaciji. Redundantne servere treba razmes-
na alternavne lokacije i poveza u WAN mreu. U sluaju prekida elektrinog
napajanja, raspoloivost podataka, zavisno od kapaciteta, obezbeuju i izvori
neprekidnog napajanja UPS (Uninteruptable Power Suply).
5. Redundantna zika infrastruktura za VD, treba da bude planirana i ugovorena.
Za premetanje na rezervnu lokaciju, treba izradi procedure za evakuaciju i
povratak na primarnu ili novu lokaciju. Zata zike infrastrukture normalni je
deo plana za hitne intervencije.
6. Dokumentacija, elektronska i papirna ukljuujui i arhivu, u primarnoj strategiji
upravljanja VD obino se bekapuje na magnetske, opke i druge medije i skladi
274
KO FOJ
na rezervnoj lokaciji. Papirnu dokumentaciju treba skladi na pristupanoj alte-
rnavnoj lokaciji.
Kada se izabere strategija za upravljanje VD u IKTS, treba je dokumentova i
izvri pripremu i obuku.
(5) Implementacija plana za upravljanja VD u IKTS moe zahteva duge pripreme: us-
postavljanje procedura za bekapovanje, sklapanje novih i obnavljanje postojeih
ugovora za servise, nabavka IKTS opreme, auriranje servisa i opreme za bekapovanje,
formiranje redundantnih kapaciteta, zamena dotrajale ili zastarele opreme, formal-
no pripisivanje odgovornos itd. Vano je odrava pripremu aurnom, ukljuujui
i dokumentaciju. Za implementaciju plana je najznaajnije: koliko scenarija i verzija
plana treba razvi i ko priprema svaku verziju plana pojedinano?
Za male IKTS, plan za VD moe bi deo plana zate. Za velike i kompleksne IKTS, plan
zate moe da sadri kratak pregled plana za upravljanje VD, koji moe bi poseban
dokument. U centralizovanom upravljanju, najbolje je odredi koordinatora za up-
ravljanje VD, koji priprema plan sa ostalim menaderima. Dokumentovan plan za VD
mora bi aurno odravan u skladu sa promenama i uskladiten na bezbedno mesto.
Pisani dokument plana je krian faktor u VD i mora bi jasno napisan, razumljiv i
na raspolaganju svim zaposlenim. Korisno je uskladi aurne kopije na nekoliko
lokacija, ukljuujui sve rezervne.
Obuka zaposlenih za VD obavezna je za sve zaposlene i novo-zaposlene. Povre-
meno treba izvodi vebe na kojima zaposleni prakno uvebavaju svoje uloge u
VD. Najvanije su simulacije razliih scenarija prirodnih katastrofa i uvebavanje
ponaanja i postupaka zaposlenih. Kbuka je posebno vana za efekvno reagova-
nje u hitnom sluaju. Tesranje plana za VD u IKTS treba vri periodino, jer plan
vremenom zastareva, pa se moraju specino dodeli odgovornos zaposlenim za
odravanje aurnos plana. Tesranje ukljuuje reviziju, analizu i simulaciju.
Revizija moe bi jednostavan test za proveru tanos dokumentacije plana,
dostupnos datoteka iz sistema za bekapovanje i poznavanja procedura za VD. Anal-
iza se moe izvri na celom ili delu plana, kao to su procedure za hitne resursa za
podrku. Analiari trae logine ili procesne slabos i intervjuiu menadere i druge
zaposlene, da bi popravili plan. Simulacija krizne situacije i kako se transportuje na
alternavnu lokaciju, to obezbeuje informacije o grekama u planu za VD, krine
informacije za konnuitet poslovanja i uvebane procedure za realnu kriznu situaci-
ju. ato je krinost funkcije za koju se simulira VD vea, m je simulacija rentabilnija.
Simulacija se moe izvri sa rezervnom IKTS opremom za oporavak sistema (tzv.
vrui test) ili na papiru (tzv. papiroloki test) za proveru ljudi i plana.
Kva komponenta zate je prakno meuzavisna sa svim kontrolama zate, koje
zajedno proakvno spreavaju VD u IKTS, a posebno sa procenom rizika, zikom i
personalnom zatom, upravljanjem kompujterskim incidentom i polikom zate.
Trokovi razvoja i implementacije plana za VD u IKTS mogu bi znaajni, zavisno od
izbora strategije [45, 35].
275
UJJ O FOJ
5.4. REZIME
Kompjuterski incident je povreda ili imanentna pretnja za primenu polike zate.
Na bazi primarnih kategorija napada, uobiajena je podela KI na odbijanje izvravanja
servisa (DoS), napad malicioznih programa, neovlaeni pristup i nepropisno korienje.
Generalno, postoji mnogo naina da organizacija redukuje ucaj ili ublai posledice KI,
preduzimanjem prevenvnih mera za spreavanje posledica KI. Kapacite za upravljanje
KI obuhvataju organizaciju i upravljanje specinim povima KI.
Interventni m za upravljanje incidentom centralni, distribuirani ili koordinirani,
moe se popuni sa zaposlenim, zaposlenim i spoljnim saradnicima i potpuno iznajm-
ljenim lanovima ma. Primarni ciljevi razvoja kapaciteta za upravljanje KI su saniranje
tete i oporavak sistema, ali i za prevenvno spreavanja potencijalne tete, analizu
rizika i obuku o za.
Nagovetaji KI mogu bi predznaci da se neki incident moe dogodi i indikator i
da se incident vrlo verovatno dogodio ili se upravo dogaa. Nagovetaji i indikatori se
idenkuju iz vie razliih izvora.
Proces upravljanja KI sadri faze pripreme, detekcije i analize, saniranja posledica i
oporavak i analize iskustava. Log datoteke IDPS su osnovni ala za prikupljanje infor-
macija o napadu i napadau za forenziku istragu i analizu, saniranje KI i oporavak siste-
ma. Nagovetajima KI, ne moe se uvek verova zbog velikog broja netanih indikacija.
Metod saniranja posledica KI varira u zavisnos od kategorije i pa. Preporuljivo je
da se razvije poseban metod saniranja posledica za sve glavne pove KI i da se kriteri-
jumi za izbor odgovarajueg metoda dokumentuju. Kvi kriterijumi mogu da ukljue po-
tencijalna oteenja i krau objekata, obavezu uvanja dokaza za forenziku analizu,
raspoloivost servisa, vreme, resurse i efekvnost implementacije metoda i trajnost
reenja (hitno, privremeno, trajno). U toku analize iskustava iz upravljanja KI treba
razmatra brojna pitanja o prirodi incidenta, posledicama, nainu reakcije itd.
Plan za VD ukljuuje evakuaciju IKTS kapaciteta izvan ugroene zone, nain odravanja
krinih servisa IKTS u operavnom stanju i oporavak sistema posle VD. Proces plani-
ranja VD odvija se u est faza. Za veinu servisa IKTS postoji taka u kojoj ucaj VD
postaje toliki, da su bespredmetni pokuaji odravanja konnuiteta rada. U procesu
upravljanja VD vreme je krian faktor, pa treba to ranije utvrdi ucaj vremena na
proces i odredi prioritet saniranja posledica.
Razvoj scenarija potencijalnih VD pomae u razviju plana i treba da obuhva ljud-
ske resurse, kapacitete za procesiranja, aplikacije i podatke, IKTS, infrastrukturu i doku-
mentaciju. Neophodno je razmotri koje su mere zate instalirane da spree i smanje
ucaj VD na IKTS i poslovanje. Potrebno je koordinira prevenvne mere i akvnos za
oporavak sistema. Strategija planiranja i upravljanja VD u IKTS normalno sadri hitne
intervencije, oporavak sistema i konnuitet poslovanja.
276
KO FOJ
Plan za upravljanje VD mora bi napisan, aurno odravan i uskladiten na bezbedno
mesto. Svi zaposleni treba da prou obuku za svoje uloge u VD. Implementacija strate-
gije zate krinih IKTS servisa i resursa za podrku zahteva detaljnu pripremu ma
za planiranje i upravljanje VD. Najznaajnije su izbor i broj scenarija, verzija planova i
odgovornost lica za pripremu svakog plana. Plan vremenom postaje zastareo i treba ga
periodino tesra i uvebava kroz reviziju, analizu i simulaciju.
Poto sve kontrole zate proakvno spreavaju VD u IKTS, prakno postoje
meuzavisnos sa svim kontrolama, posebno analizom rizika, zikom i personalnom
zatom, upravljanjem incidentom i polikom zate.
Distribuiran DoS (DDoS): DoS tehnika koja ko-
ris brojne hostove za izvravanje napada.
Digitalna forenzika raunara: sakupljanje,
akvizicija i analiza kompjuterskih generisanih
i uskladitenih digitalnih dokaza za potrebe
forenzike istrage; zahteva uvanje integriteta
digitalnih podataka u celom lancu istrage.
Incident: povreda ili imanentna pretnja pro-
meni polike i standarda zate.
Interventni m: ljudski kapacite uspostavlje-
ni za upravljanje kompjuterskim incidentom.
Kapacite za upravljanje incidentom: Ljudi,
tehnike i ala, metodi, vreme i drugi resursi
na raspolaganju za upravljanje kompjuterskim
incidentom.
Nagovetaj: znak (predznak, indikator) da se
neki incident moe dogodi ili se dogaa.
Odbijanje izvravanja servisa (DoS): neki
napad koji spreava ili ometa ovlaeno
korienje servisa i informacija RM/RS is-
crpljivanjem resursa.
Operacija bekapovanja: stvaranje rezervnih
kopija za izvravanje bitnih zadataka posle
prekida rada IKTS i nastavljanje rada dok se
objek sistema ne oporave u dovoljnoj meri.
Oporavak (Recovery): restauracija objekata
IKTS i druge infrastrukture posle glavnog
kompjuterskog incidenta.
Predznak: neki nagovetaj da se napada
moda priprema da izazove incident.
Sistem za detekciju i spreavanje upada u
IKTS (IDPS): soverski (ili hardverski) alat koji
otkriva sumnjive akvnos, alarmira admin-
istratora i potencijalno spreava upad u IKTS.
Hitna intervencija: odgovor na hitni sluaj
kao to su poar, poplava, prirodna katastrofa,
teroriski napad i sl., da bi se zali ivo,
ograniila teta i smanjio ucaj na rad IKTS.
Hladna lokacija: prazan, rezervni objekat izvan
lokacije organizacije, opremljen potrebnom
infrastrukturom, pripremljenom za instalaciju
IKTS opreme.
Konnuitet poslovanja: akvnos odravanja
krinih poslova u toku i posle VD.
Redundantna lokacija: lokacija opremljena sa
IKTS, idennim primarnom, sa bekapovan-
jem u rezervni sistem u realnom vremenu i
transparentnim oporavkom.
Operacija bekapovanja: stvaranje rezervnih
kopija programa i podataka za izvravanje bit-
nih zadataka posle prekida rada, nastavljanje
rada i potpun oporavak IKTS.
Oporavak: restauracija objekata IKTS posle
glavnog oteenja.
Plan konnuiteta poslovanja: procedure i
informacije razvijene, povezane i odravane
u gotovos za upotrebu u sluaju vanrednog
dogaaja.
Uzajamno bekapovanje: dve organizacije sa
slinim konguracijama sistema obezbeuju
rezervne kopije jedna drugoj, za sluaj VD.
Vrua lokacija: lokacija sa hardverom, so-
verom i mrenom instalacijom, koja je kompat-
ibilna primarnoj instalaciji IKTS organizacije.
277
UJJ O FOJ
1. Koja mera je najpogodnija, kada NIDS
sistem otkrije napadaa na RM:
a. pokua idenkova napadaa
b. sauva evidenciju u log datoteci bez-
bednosno relevantnih dogaaja
c. izbrisa log datoteku i pokua uhva
odreene podatke ako se ponovi napad
d. odtampa dnevnik rada i ostavi kod
porra za forenziara
2. Kompjuterski dogaaj je:
a. bilo koje uoljivo deavanje u RS ili RM
b. dogaaj sa negavnim posledicama
c. sistemski dogaaj registrovan u log
datoteci
d. povreda ili pretnja za povredu i/ili pri-
menu polike zate
3. Kompjuterski incident je:
a. bilo koje uoljivo deavanje u RS ili RM
b. dogaaj sa negavnim posledicama
c. sistemski dogaaj registrovan u log
datoteci
d. povreda ili pretnja za povredu i/ili pri-
menu polike zate
4. Generika podela incidenta je na incidente
koji:
a. ne predstavljaju glavnu pretnju sistemu
i organizaciji
b. mogu izazva zaustavljanje poslova
organizacije
c. mogu izazva pad raunarskog sistema
i raunarske mree
5. Polika upravljanja kompjuterskim inciden-
tom treba da sadri sledee elemente:
a. izjavu menadera o angaovanju, na-
menu, ciljeve, obim i granice
b. idenkaciju incidenta i njegove po-
sledice u kontekstu organizacije
c. strukturu, uloge i odgovornos
menadmenta organizacije
d. zahtev za izvetavanje o svim/
odreenim povima incidenata
e. prioritete saniranja incidenta i nain i
formu izvetavanja
f. merenje performansi kapaciteta za
upravljanje rizikom
6. Podela incidenta na bazi primarnih kat-
egorija napada je na:
a. odbijanje izvravanja servisa (DoS/
DDoS),
b. kraa identeta i prislukivanje
c. napad malicioznim programom
d. neovlaeni pristup i nepropisno
korienje IKTS
e. kombinovani napad
7. Predznaci incidenta mogu bi:
a. log datoteka u Web serveru pokazuje
korienje skenera ranjivos
b. veliki broj povezanih emailova sa
sumnjivim sadrajem
c. neobina odstupanja od pinog
mrenog toka
d. najavljena nova iskorisvost koja
pogaa ranjivost servera epote
e. neovlaen pristup web servisima na
Internetu i pretee email poruke
f. pretnja grupe hakera da e napas
organizaciju
g. mreni IDPS alarmira da je neki bafer
web servera preplavljen
h. anvirusni program alarmira prisustvo
virusa/crva u raunaru
e. pad web servera i promena auding
konguracije u log datoteci hosta
f. vie neuspelih pokuaja udaljenog
pristupa nepoznatog korisnika u log
datoteci
8. Indikatori incidenta su:
a. log datoteka u Web serveru pokazuje
korienje skenera ranjivos
b. veliki broj povezanih emailova sa
sumnjivim sadrajem
c. neobina odstupanja od pinog
mrenog toka
d. najavljena nova iskorisvost koja
pogaa ranjivost servera e-pote
e. neovlaen pristup web servisima na
Internetu i pretee e-mail poruke
f. pretnja grupe hakera da e napas
organizaciju
278
KO FOJ
g. mreni IDPS alarmira da je neki bafer
web servera preplavljen
h. anvirusni program alarmira prisustvo
virusa/crva u raunaru
i. pad web servera i promena auding
konguracije u log datoteci hosta
j. vie neuspelih pokuaja udaljenog
pristupa nepoznatog korisnika u log
datoteci
9. lanovi ma za upravljanje KI (CIRT) treba
da poseduju:
a. ekspertska znanja i sposobnost za m-
ski rad
b. specine vene za upravljanje nekom
tehnologijom zate
c. specine vene za digitalnu
forenziku istragu
d. dobre komunikacione sposobnos
e. da su povremeno na raspolaganju
10. Proces korporacijske digitalne forenzike
istrage KI ukljuuje:
a. pripremu i podnoenje zahteva za
istragu kompjuterskog incidenta
b. akviziciju i rukovanje sa digitalnim
dokazima
c. idenkaciju incidenta i napadaa
d. ulazak u trag napadau i hapenje
e. forenziko rukovanje sa digitalnim
dokazima kao da e bi preda sudu
11. Podatke koji se odnose na incidente
mogue je meri na bazi:
a. broja saniranih incidenata u
odreenom vremenskom periodu
b. utroenog vremena za planiranje ot-
klanjanja posledica incidenta
c. utroenog vremena za otklanjanje
uzroka i posledica incidenta
d. subjekvne procene rizika i revizije
programa za upravljanje rizikom
e. objekvne analize i procene uzroka i
prirode svakog incidenta
f. zadravanje dokaza o incidentu u proiz-
voljnom vremenskom periodu
g. nansijskog gubitka i druge tete koju je
incident izazvao
12. Glavne faze procesa upravljanja kompjuter-
skim incidentom (KI) su:
a. priprema, detekcija, prijavljivanje,
analiza predznaka
b. detekcija, prijavljivanje, analiza inci-
denta i saniranje posledica
c. formiranje ma za upravljanje inciden-
tom
d. saniranje posledica i oporavak sistema,
analiza iskustava
e. analiza i prolisanje napadaa
13. Proces planiranja vanrednih dogaaja (VD)
obuhvata sledee faze:
a. idenkaciju funkcija IKTS krinih za
konnuitet poslovanja
b. idenkovanje resursa koji podravaju
krine IKTS servise
c. procenu potencijalnih vanrednih
dogaaja
d. izbor strategije za upravljanje rizikom
e. implementacija plana za upravljanje
rizikom
f. implementacija plana za upravljanja VD
u IKTS
14. Glavni resursi potrebni za upravljanje VD
su:
a. ljudski resursi
b. kapacite IKTS za procesiranje
c. serveri
d. aplikacije i podaci IKTS
e. servisi IKTS
f. zika infrastruktura IKTS
g. dokumentacija poslovnih procesa
h. dokumentacija IKTS
15. Sredstva za podrku rada IKTS, kao to je
elektrino napajanje, obino nisu uneta u
plan za VD i konnuitet poslovanja, zato to
su:
a. veoma pouzdana
b. skupa za odravanje
c. teka za upravljanje
d. nije tano ni jedno od navedenih
16. Upravljanje vanrednim dogaajem i kon-
nuitetom poslovanja je:
a. proces, koji se obavlja u organizaciji i
koji obuhva sve odseke i nivoe
b. proces odseka za IKTS, odgovornog za
rad IKTS
279
UJJ O FOJ
c. u sluaju VD svaki rukovodilac odseka
mora da napravi zaseban plan za VD
d. projekat vlade, koja organizacijama
dikra pripremne zahteve za VD
18. Glavna (primarna) lokacija je:
a. zgrada na rezervnoj lokaciji opremljena
sa hardverom, soverom i mrenom
instalacijom, kompabilnom primarnoj
mrenoj instalaciji IKTS
b. iznajmljena organizacija po ugovoru,
koja vri online transmisiju podataka
radi periodinog bekapovanja i opor-
avka sistema
c. postojea zgrada opremljena sa IKTS
kapacitema
d. prazna rezervna zgrada sa osnovnom
infrastrukturom za smetaj IKTS op-
reme, koja se lako moe adapra u
sluaju vanrednog dogaaja
e. bilo koja kombinacija gornjih kategorija
f. miror lokacija opremljena i konguri-
sana potpuno jednako kao primarna
g. sporazum, plan i odravanje kompabil-
nos konguracija IKTS i aplikacija
19. Hladna lokacija je:
avka sistema
kapacitema
20. Vrua lokacija je:
avka sistema
c. postojea zgrada opremljena sa IKT
kapacitema
21. Redundantna lokacija je:
avka sistema
kapacitema
22. Uzajamno bekapovanje je:
280
KO FOJ
avka sistema
c. postojea zgrada opremljena sa IKT
kapacitema
h. reciproni ugovori koji doputaju da se
IKTS organizacija meusobno pomognu
u sluaju VD i koji zahtevaju esto
auriranje
23. Udaljena iznajmljena transakcija je:
avka sistema
kapacitema
24. Hibridni sistemi bekapovanja su:
avka sistema
kapacitema
sluaju VD
e. sporazum, plan i odravanje kompabil-
g. bilo koja kombinacija gornjih kategorija
25. Kljune vrste tesranja plana za vanredni
dogaaj su:
a. analiza, sinteza i simulacija
b. revizija, analiza i simulacija
c. revizija, obuka i simulacija
281
UJJ O FOJ
6.
UPRAVLJANJE FIZI,KO-TEHNI,KOM ZATITOM
6.1. UVOD
&izika zata i zata okruenja IKTS treba da se zasnivaju na standardima i princi-
pima dobre prakse zike zate znaajnih objekata, koja ukljuuje ziko obezbeenje
i tehniku zatu - video nadzor, PPZ i prov-provalnu zatu (3PZ).
U pristupu zikoj za IKTS, treba primenjiva standardne principe zike zate
kao to su zata po dubini, planiranje lokacije, akomodacija, redovan nadzor i revizija
zate, zata zaposlenih i klijenata, upravljanje VD, zika zata klasikovanih infor-
macija i zikih objekata IKTS, konzistentnost i specinost zike zate RS/RM i zate
papirnih informacija i medija za masivno skladitenje.
6.2. STANDARDI FIZI,KE ZATITE
6.2.1. Standardi fizike zatite za raunarsku sobu i radne stanice
U procesu upravljanja zikom zatom IKTS treba koris raspoloive nacionalne
standarde za ziku zatu znaajnih objekata, ziku zatu raunarske sobe i radne
stanice, koje izdaje nacionalno telo za standardizaciju. Kvi standardi obuhvataju ziku
zatu klasikovanih i neklasikovanih objekata. Klasikovani objek sadre restrikvne
zone i standardi nisu dostupni, a za neklasikovane su javno dostupni. Klasikovani stan-
dardi ukljuuju video nadzor i znaajniju 3PZ. Standardi za ziku zatu radnih stanica
su ukljueni u standarde raunarske sobe, a mera zike zate se rangira obino na 4
nivoa - od najvieg (4) do najnieg (1) [2]. Zata zike infrastrukture je od presudnog
znaaja za zatu RM i IKTS u celini i ini osnovu na kojoj se izgrauje sistem zate RM
KSI modela [69].
282
KO FOJ
6.3. FIZI,KA ZATITA I ZATITA OKRUENJA IKTS
6.3.1. Rizici proboja fizike zatite i zatite okruenja IKTS
Termin zika zata i zata okruenja IKTS odnosi se na mere i metode zike
zate objekata IKTS, zgrada i infrastrukture okruenja za podrku rada IKTS, od sluajnih
ili namernih pretnji, a obuhvata sledee tri kljune oblas [35, 34, 41]:
1. zike objekte: zgrade, graevinske strukture, vozila sa RS i dr.
2. operavnu lokaciju: odreenu na bazi prostornih karakteriska prirodnih i huma-
nih pretnji i sekundarnih oteenja (eksplozija, vatra itd.).
3. okruenje IKTS: servisi za podrku rada IKTS (napajanje, grejanje, hlaenje i teleko-
munikacije), iji nestandardan rad moe izazva prekid rada IKTS.
&izika zata IKTS i okruenja obezbeuje i zatu zaposlenih, a teino je usmerena
na zatu IKTS od sledeih pretnji:
prekida izvravanja servisa (DoS): veliina tete zavisi od trajanja prekida servisa
i karakteriske operacije i korisnika akcija;
zikih oteenja hardvera i sovera IKTS: mogu se popravi ili zameni; veliina
tete zavisi od cene popravke/zamene i trokova prekida servisa;
neovlaenog otkrivanje informacija: zika ranjivost prostorija za smetaj IKTS;
posebno opasno u visoko distribuiranom mrenom okruenju;
gubitka kontrole integriteta IKTS: moe izazva napada koji dobije ziki pristup
serveru/raunaru; posledice mogu bi kraa/prekid servisa, otkrivanje i izmena
informacija, pronevera itd; teko je odredi ta je modikovano, izbrisano ili ko-
rumpirano; znaajni su trokovi zamene ukradenog hardvera i restauracije po-
dataka, a trokovi nastali zbog otkrivanja osetljivih informacija mogu bi nepre-
dvidljivo veliki.
6.3.2. Fizika zatita IKTS i okruenja
&izika zata IKTS i okruenja obuhvata kontrolu zikog pristupa perimetru i ulazu u
zgradu i u restrikvne prostore u zgradi, proces zike idenkacije zaposlenih (bedevi,
karce), podsisteme za grejanje, hlaenje i venlaciju, 3PZ, video nadzor, zatu EM i
opkih medija i komunikacija. Mere zike zate IKTS i okruenja grupiu se u osam
oblas [41]: barijere za ziki pristup, PPZ zata, sistemi za grejanje, hlaenje i ven-
laciju, kolaps zike strukture, vodovodne instalacije, prislukivanje podataka, ucaj EM
smetnji i mobilne sisteme.
Barijera za ziki pristup ograniava ulaz/izlaz personala, opreme i medija u/iz zone
zate, a ukljuuje restrikvni prostor, barijeru za optu izolaciju, ulaznu taku u bari-
283
UJJ O FOJ
jeri i mere zate ulazne take. Zaposleni u restrikvnim prostorima IKTS igraju vanu
ulogu u zikoj za, jer kontroliu sva nepoznata lica. Barijere za ziki pristup te
restrikvne zone sa objekma IKTS, lokacije kabliranja i elektrinog napajanja, sisteme
za hlaenje i grejanje, telefonske i linije za prenos podataka, kao i druge elemente
potrebne za rad IKTS. U sluaju ivotne opasnos u VD, prednost treba da izlazima za
sluaj opasnos, ali je mogue izbalansira oba zahteva (npr. bravom sa vremenskim
kanjenjem).
Postoji vie vrsta barijera za ziki pristup, ukljuujui ziko obezbeenje, bedeve,
memorijske karce, kljueve, pokretna vrata, ograde i vrata sa ifrovanom bravom. Treba
analizira efekvnost barijera za ziki pristup u radno i vanradno vreme, kao i izvodlji-
vost tajnog ulaska. Dodavanjem vieslojnih barijera, moe se smanji rizik neovlaenog
ulaska u zonu zate. Video nadzor i 3PZ detektori kretanja i drugi senzori mogu detek-
tova i alarmira ulaske u restrikvne prostore i ziki pristup objekma IKTS.
Prov-poarna zata (PPZ) u zgradi posebno je znaajna za bezbednost IKTS, zbog
rizika za ljudske ivote, potencijalnog unitenja hardvera, sovera i podataka i druge
tete od poara. &aktori rizika od poara za objekte IKTS su [35]:
izvori poara, materije koje emituju dovoljnu toplotu koja moe izazva paljenje
drugih materijala;
izvori goriva i kiseonik moraju postoja za odravanje i irenje poara; vie sago-
rivog materijala po kvadratnom metru, znai vei poar i veu tetu;
ispravno odravanja zgrade, posebno PPZ sistema, minimizira akumulaciju sago-
rivog materijala, a me i rizik od izbijanja poara;
sadraj zgrade sa iznad-prosenim brojem potencijalnih izvora poara (npr.
skladite lako zapaljivih meterijala) inherentno je opasniji od drugih;
detektori poara, to su bri, lake e se i bre ugasi poar i smanji ukupna
teta; vrlo je vano precizno odredi mesto izbijanja poara;
PPZ apara za gaenje vatre mogu bi automatski (npr. rasprivai vode) ili polu-
automatski (npr. klasini pokretni PPZ apara), namenjeni za gaenje elektrinih
instalacija i elektronske opreme i propisno odravani.
Kvarovi tehnikih ureaja za obezbeenje radnog okruenja IKTS smanjuju tehniku
pouzdanost sistema. Kvarovi sistema za grejanje/hlaenje, obino izazivaju prekid
servisa IKTS i mogu ote hardver. Tehnika pouzdanost h sistema odreuje se na
osnovu faktora MTBF (srednje vreme izmeu otkaza) i MTBR (srednje vreme izmeu
popravkiremonta) za elektrinu centralu, toplanu, pumpnu stanicu za snabdevanje vo-
dom, sistem za venlaciju i kanalizaciju i druge pomone sisteme za rad IKTS i konfor
radnog osoblja. Rizik se moe smanji zamenom ureaja sa niim MTB& ili instalacijom
redundantnih sistema, skladitenjem rezervnih delova i obukom osoblja za odravanje
sistema [35].
Kolaps zgrade zbog zemljotresa, snene lavine, klizita, oluje, eksplozije ili poara,
odnosi se, pre svega, na visoke, prostrane zgrade bez noseih stubova.
284
KO FOJ
Kvarovi vodovodnih instalacija mogu bi veoma razorni. Plan zgrade pomae da
se lociraju vodovodne instalacije, rizine za hardver IKTS. Lokacija sigurnosnih venla i
korisnike procedure moraju bi precizne i trenutno dostupne.
Prislukivanje podataka, zavisno od pa podataka i procesa IKTS, moe nosi
znaajan rizik. Postoje tri naina presretanja (intercepcije) podataka u IKTS:
direktno osmatranje monitora radnih stanica od strane neovlaenih lica, to je u
veini sluajeva lako je sprei premetanjem monitora.
intercepcija transmisije podataka na zikim linijama lokalne mree, omoguava
prislukivanje, itanje/snimanje paketa podataka, u akvnom ili pasivnom reimu.
Kod beinih mrea mogunost intercepcije se poveava.
elektromagnetska intercepcija koris parazitno ili kompromitujue zraenje EM
energije (KEMZ), koje emituju, kondukcijom i radijacijom, svi akvni ureaji i
mrene instalacije IKTS. Kvo zraenje moe se detektova sa specijalnim prijem-
nicima i antenama, a uspeh zavisi od snage signala, osetljivos i lokacije prijem-
nika i antenskog sistema. Tehnologija za EM intercepciju KEMZ signala naziva se
TEMPEST (Transient ElektroMagnec Pulse Surveillance Technology), kao i stan-
dard za zatu od KEMZ-a TEMPEST (Transient Elektro Magnec Pulse Ema-
nang Standard), koji denie oklapanje ureaja, raunarske sobi ili cele zgrade
i druge naine smanjenja irenja KEMZ signala [74, 77, 34]. TEMPEST otporne
raunare i perifernu oprema uglavnom koriste dravne organizacije [35].
EM interferencija, takoe, moe predstavlja rizik za sistem zate i IKTS. Postoji
nekoliko pova spoljnih EM interferencija. EM indukcija od munje moe na ener-
getskoj ili komunikacionoj liniji izazva potencijalno opasnu indukciju EM ener-
gije i kvar ureaja. Stako pranjenje moe izazva energetsko preoptereenje,
ote ipove i tampana kola i uspori kretanja mehanikih delova, ak i ispod
nivoa detekcije. EM interferencije (EMI) sa spoljnim izvorima elektrine emisije,
mogu izazva brisanje podataka, korupciju datoteka i prekid rada lokalne op-
reme. Radiofrekvencijska interferencija (RFI) moe izazva korupciju i brisanje
podataka i oteenja opreme, koja ne moe prepozna komande iz legimnog
izvora.
Mobilni i prenosni sistemi, instalirani u vozilu ili prenosni (Lap Top, Noutbook),
obino zahtevaju modikaciju analize i procene rizika. Raunarski sistem u vozilu deli
iste rizike kao i samo vozilo, ukljuujui udese i krau, kao i regionalne i lokalne faktore
rizika. Portabl sistemi imaju vei rizik od krae i zikog oteenja, a osetljive ili vane
podatke treba uskladi na pokretni medij ili ifrova. Dodatnu zatu obezbeuju
hardverski i/ili soverski ureaji za kontrolu pristupa.
6.3.3. Zatita EM i optikih medija
Generalno, postoji oprema koja moe kompletno ukloni sve magnetske tragove
sa odloenih EM medija, ukljuujui RAM memorije. Pri tome treba razlikova procese
285
UJJ O FOJ
saniranja i deklasikacije medija. Saniranje je proces brisanja, to je mogue vie po-
dataka sa medija ili raunarske opreme, koji ne unitava i ne menja automatski kla-
sikaciju medija/opreme. Deklasikacija je uklanjanje ili redukcija nivoa klasikacije
medija/opreme na bazi procene rizika, odluke o otkrivanju preostalih podataka, pro-
cene ugovornih obaveza i eventualne prodaje, odlaganja i popravke opreme. Mediji/
oprema koji nose klasikovane podatke, moraju ima oznaku najveeg stepena klasi-
kacije podataka, dok se ne izvri propisano saniranje ili deklasikacija. Magnetni mediji
se deklasikuju demagnezacijom i viestrukim presnimavanjem [2].
Demagnezacija smanjuje gusnu magnetnog uksa primenom reverznog magne-
tnog polja i obezbeuje neitljivost prethodno snimljenih podataka i informacija.
Viekratno presnimavanje magnetnih medija uzastopnim binarnim 1 i 0, standardno se
koris za ekasno brisanje podataka. Ciklus se ponavlja vie puta, zavisno od procenjen-
og rizika ili zahteva za deklasikaciju, a preporuuju se sledei koraci: (1) presnimi sve
lokacije bita podataka sa binarnom 0 i proveri uspeh, (2) presnimi sve lokacije bita po-
dataka sa binarnom 1 i (3) proveri uspeh i ponovi 1. i 2. korak vie puta prema zahtevu
za deklasikaciju ili proceni rizika. Nepotpuno izbrisani i neispravno klasikovani mediji/
ureaji koji se ne mogu sanira demagnezacijom i viestrukim presnimavanjem, mora-
ju se ziki uni. Laserski tampai i kopir apara mogu se sanira i deklasikova
tampanjem praznih kopija, nakon poslednjeg tampanja klasikovanih informacija.
Proces saniranja i odlaganja dokumenata i medija prikazan je na Sl. 6.1.
Sl. 6.1. Tok procesa saniranja i odlaganja dokumenata i medija
286
KO FOJ
Procedura zate EM i opkih medija treba da specino obuhva mere zate
od otkrivanja poverljivih informacija sa odloenih, neispravnih ili zastarelih medija/op-
reme i ziku zatu korienih arhiviranih medija. Memorijski ipovi i drugi elemen
za skladitenje saniraju se ili deklasikuju na bazi procene rizika, uklanjanjem izvora
napajanja i uzemljivanjem memorijskih elemenata. Meum, u razvoju su holografske
tehnologije za skladitenje informacija i molekularna memorija, za koje tek predstoji
razvoj adekvatnih mehanizama za saniranje.
Hologramska memorija skladi podatke na hologramsku 3D sliku, proputanjem
svetlos kroz svetlosno osetljivi kristal, koji zadrava opki obrazac. Ima nekoliko hiljada
puta vei kapacitet i nema mehanike delove. Velika koliina podataka ita se i upisuje
jednostavnim komandama itaj ili pii, nasuprot dananjim 2D memorijama, koje itaju
i upisuju podatke bit po bit. Sistem za hologramsko skladitenje moe uskladi na
hiljade stranica (blokova) podataka, sa preko milion bita svaka. Zauzima prostor veliine
kocke eera, npr. 10 GB podataka staje u 1 cm
3
. Brzina pristupa podacima dose 1
Gbps, poto memorija nema mehanikih delova, a podacima (stranicama) se pristupa
paralelno.
Molekularna memorija skladi podatke koristei protein bakteriorodopsin (bacte-
riorhodopsin). Neki laser moe izmeni protein iz stanja R (binarna 0) u stanje Q (bi-
narna 1), to ga ini idealnim ILI ili ipop kolom za skladitenje binarnih podataka.
Memorija je jeina za proizvodnju i moe radi u veem temperaturnom opsegu nego
poluprovodnika. Promena molekularnog stanja odvija se za nekoliko mikrosekundi, a
kombinovani koraci za operacije itanja ili upisivanja traju oko deset milisekundi, to se
ini sporim, ali se podacima pristupa paralelno pa je mogua brzina pristupa od 10MBps
[77].
6.3.4. Metodi unitavanja medija
Destrukcija vrsh diskova i memorija vri se topljenjem, lomljenjem ili mlevenjem
po odobrenom metodu. Svi mediji za skladitenje klasikovanih podataka i informacija
moraju se ziki uva prema standardima i uputstvu za zatu organizacije. Gradacija
stepena saniranja medija nije konana, nego vie uputstvo za rad. Generalno, najea
podela medija je u tri kategorije: EM, laserski tampai/kopir maine i osetljive memo-
rije (npr. RAM), ali ne ukljuuje elemente koji ne gube podatke (npr. EEPRKM). Standard
preporuuje eri nivoa saniranja (Tabela 6.1), gde 0. nivo oznaava da ni jedna kate-
gorija medija nije sanirana [2]:
287
UJJ O FOJ
Tabela 6.1. Standard stepena saniranja kljunih kategorija medija
Nivo Stepen saniranja medija
1.
EM mediji su sanirani propisanom demagnezacijom ili presnimavanjem.
Laserski tampa/kopir nije saniran. Ksetljiva memorija nije sanirana.
2.
EM mediji su propisno sanirani demagnezacijom ili dvo tro-strukim presnima-
vanjem u skladu sa procenom rizika, cenom medija ili prodaje, koliinom podataka
i informacija i mogunos popravke. Nivo deklasikacije mora bi barem dva nivoa
nii od originalne. Laserski tampa/kopir i osetljiva memorija su propisno sanirani.
3.
Svi EM mediji su uniteni. Laserski tampa/kopir je propisno saniran.
Ksetljiva memorija je sanirana prema propisanom metodu na osnovu procene rizika,
uzimajui u obzir cenu medija ili prodaje, koliinu podataka i informacija i mogunost
popravke
4. Svi magnetni mediji, laserski tampai/kopiri i osetljive memorije unitene.
6.3.5. Kriterijumi za izbor i implementaciju fizike zatite
Sistem zike zate kontrolie pravo, vremenski period i uslove pristupa objekma i
zgradama organizacije. &izike i mere zate okruenja su efekvne i rentabilne, a imple-
menraju se na bazi eri opta kriterijuma za izbor [2]:
1. mere zate se zahtevaju prema zakonu (npr. izlazna vrata za VD);
2. beznaajni trokovi, znaajna korist (npr. objek IKTS u restrikvnom prostoru sa
vrama kroz koja se retko prolazi);
3. zata IKTS spreava fatalne proboje sistema, ali ima ozbiljne trokove (npr. beka-
povanje programa i podataka);
4. procenjuje se da je mera IKTS zate rentabilna (npr. zata od prekida elektrinog
napajanja).
Dva sistema mogu ima istu pretnju (npr. prekid napajanja) i iste ranjivos, ali i pot-
puno razliite gubitke. Na raspolaganju je vei broj mera zate, razliih po ceni i per-
formansama. Nabavka UPS jedinice zavisi od optereenja, broja minuta rada i brzine
reagovanja na prekid napajanja, a moe se instalira i neki generator za krae prekide
napajanja ili kao rezervni izvor napajanja za UPS sistem.
6.3.6. Sistemi zatite okruenja IKTS
Savremeno reenje sistema zike zate okruenja IKTS ini integrisana zika in-
frastruktura, koja obuhvata sledee komponente [74]: (1) UPS sistem sa distribucijom,
288
KO FOJ
(2) sistem klimazacije sa distribucijom hladnog vazduha, (3) sistem senzora za nadzor
okruenja i (4) centralnu plaormu za upravljanje i monitoring.
UPS sistem sa distribucijom mora bi modularan, skalabilan, visoko raspoloiv, tehniki
pouzdan i upravljiv, sa standardnim dimenzijama za IKTS opremu i napajanjem, zaenim
od KEMZ. Sistem klimazacije sa distribucijom hladnog vazduha namenjen je da hladi
samo objekte i mesta gde se emituje toplota, a ne prostor. Prilagoen je rekovima sa
opremom, koja ima veliku gusnu disipacije toplote. Integrisan je u IKTS i ima jedinst-
veno upravljanje. Sistem senzora za nadzor okruenja IKTS kontrolie ziki pristup, tem-
peraturu, vlanost i strujanje vazduha, taku kondenzacije, opasne gasove, curenje vode,
pojavu dima i buku. Takoe, vri rano upozoravanje putem epote, mobilnog telefona
i pejdera. Jedinstvena plaorma za upravljanje i monitoring ukljuuje pretraiva, koji
analizira trendove stanja u vie rekova i ima eksibilnu graku prezentaciju izlaznih rezul-
tata u razliim formama pogodnim za brzo odluivanje i reagovanje.
6.4. KONVERGENCIJA FIZI,KE I LOGI,KE KONTROLE PRISTUPA
U veini organizacija, sistemi logike i zike kontrole pristupa funkcioniu kao dve
odvojene, decentralizovano upravljane celine. Logikom kontrolom pristupa upravlja
informako odeljenje, a zikom sluba ziko-tehnikog obezbeenja.
Servisi zike zate deluju interakvno sa logikim servisima u brojnim primerima,
to ukazuje na potrebu integracije kontrola zikog i logikog pristupa. Konvergenciju
logike i zike zate u integrisani sistem za logiko-ziku kontrolu pristup omoguava
tehnoloka integracija, kao to su: karna kontakno-beskontaktna kontrola pristupa
zgradi, liu, restrikvnom prostoru, raunaru i bazi podataka; bluetooth tehologija inte-
gracije video nadzora, piko RM i 3PZ sistema; ita zikog pristupa povezan sa PPZ siste-
mom, koji ga deblokira u sluaju poara; nadzor i upravljanje protokom ljudi i opreme kroz
zike objekte; upravljanje metodama pristupa, kontrole proboja i zauzetos prostorija
itd. [35].
Na bazi ove integracije uspostavljen je koncept upravljanja identetom, koji se moe
denisa kao skup procesa, alata i servisa koji omoguavaju bezbedan pristup velikom
skupu sistema, servisa i aplikacija sistema [35]. Sistem za upravljanje identetom, pri-
marni je gradivni blok zate integrisanog sistema i sadri sledee interakvne elemente:
jedinicu za skladitenje podataka ili logiki repozitorij podataka, koji sadri infor-
macije iz polike zate i podatke o pravima pristupa korisnika;
jedinicu za autenkaciju korisnika, koja ukljuuje lozinku, biometrijski sistem
autenkacije ili standardne X.509 PKI serkate za digitalni potpis;
poliku zate, koja denie ko ima pristup, kojim informacijama i pod kojim uslo-
vima i
289
UJJ O FOJ
jedinicu za kontrolu, koja pra i snima tragove toka informacija, kada se podaci
registruju, koriste i menjaju.
Sve ove komponente interakvno deluju u sistemu za upravljanje identetom i obez-
beuju: jednokratnu idenkaciju korisnika za primarnu autenkaciju; personalizaciju,
koja pridruuje neku aplikaciju ili informaciju nekom identetu i upravljanja pravima pris-
tupa, koje omoguava aplikacijama da izvre autorizaciju na bazi informacija iz polike
zate i dah privilegija. Konvergenciju ova dva sistema u najveoj meri obezbeuje PKI
tehnologija i sistem smart karca/tokena.
Kombinacija logike i zike zate obezbeuje kompletniju zatu od pretnji iz
okruenja, sa elemenma terorizma, koje zahtevaju celovit pristup problemaci zate
od zike do zate kibernekog prostora. Kljuni faktor konvergencije sistema zike
i logike kontrole pristupa postaje tehnologija, jer omoguava integraciju svih procesa
u kojima moe redukova pretnje za specine ranjivos. Razlozi za konvergenciju ova
dva sistema su brojni: smanjenje ukupnih trokova zate; ekasnija kontrola pristupa i
centralizovana evidencija povreda sistema zate; nadzor i kontrola u realnom vremenu;
jedinstveni proces i lokacije za izdavanje zikih i logikih idenkatora i dr.
Da bi do ove konvergencije dolo, upravljanje integrisanim sistemom zatom mora in-
tegrisa postojee procese upravljanja logikom i zikom AC i personalom zatom IKTS
organizacije. Kvakav pristup zahteva jasno denisanje vlasnitva nad informacionim ob-
jekma i odgovornos u brojnim procesima upravljanja zatom. &izika zata podrava
propisno funkcionisanje veeg broja servisa zate (logike AC, planiranja VD i konnu-
iteta poslovanja i idenkacije i autenkacije). Kontrole zike zate obino su tesno
povezane sa akvnosma lokalne policije, stanica za PPZ, stanica hitne pomoi i medicin-
skih ustanova, koje treba konsultova u fazi planiranja. Model odnosa zike i logike AC
sa procesima upravljanja sistemom zate organizacije prikazan je na Sl. 6.2. [35].
290
KO FOJ
Sl. 6.2. Model odnosa logike i zike kontrole pristupa [35]
6.5. REZIME
&izika zata i zata okruenja IKTS treba da se zasnivaju na standardima i principi-
ma dobre prakse zike zate znaajnih objekata. U veini zemalja u svetu denisani su
standardi za raunarsku sobu i radne stanice. &izika zata lokacija IKTS obuhvata zatu
od prirodnih i humanih pretnji i sekundarnih akvnos. Zatu okruenja IKTS, obezbeuju
tehniki i ljudski servisi kao to su elektrino napajanje, grejanje, hlaenje i telekomunikacije.
Nestandardan rad ovih sistema moe prekinu rad servisa IKTS, doves do zikih oteenja
hardvera ili uskladitenih podataka. Mere zike zate IKTS obuhvataju osam glavnih obla-
s.
Specina zika zata odlaganja ili ponovnog korienja (reuse) EM i opkih medija
obuhvata procese saniranja brisanja to vie podataka i informacija sa medija/opreme i
deklasikacije uklanjanja ili redukcije nivoa klasikacije medija/opreme. Saniranje ne me-
nja automatski klasikaciju, ni ukljuuje unitavanje medija/opreme. Proces obuhvata eri
nivoa (0. nema saniranja, 4. unitavanje). Deklasikacija se vri na bazi procene rizika od
otkrivanja preostalih podataka u medijima/opremi.
Savremeno reenje sistema zike zate ini integrisana zika infrastruktura okruenja
IKTS, koja obuhvata UPS sistem sa distribucijom, sistem klimazacije sa distribucijom hlad-
nog vazduha, sistem senzora za nadzor okruenja IKTS, jedinstvenu plaormu za upravljanje
i monitoring. Tehnoloka integracija sistema zate u mnogim oblasma zike i logike AC,
dovodi do konvergencije logike i zike AC u integrisani sistem za upravljanje zatom, ko-
jeg najbolje reprezentuje tehnologija smart karca i proces upravljanja identetom.
291
UJJ O FOJ
1. &iziki objek u sistemu zate su:
a. zgrade, druge ksne graevinske struk-
ture ili vozila u kojima su smeteni IKTS
i/ili komponente RM
b. prostorne karakteriske prirodnih pret-
nji (zemljotres, poplava i dr.)
c. humane pretnje (provale, neredi, inter-
cepcija signala, snimanje KEMZ signala
d. sekundarna oteenja (izlivanje
toksinih kemikalija, eksplozija, vatra,
EM interferencije)
e. servisi za podrku rada IKTS (napajanje,
grejanje, hlaenje i telekomunikacije)
f. ziki pristup
2. Kperavna lokacija je odreena na bazi:
i/ili komponente RM
b. prostornih karakteriska prirodnih
pretnji (zemljotres, poplava i dr.)
c. humanih pretnji (provale, neredi, inter-
d. sekundarnih oteenja, (izlivanje
EM interferencije)
e. servisa za podrku rada IKTS (napajanje,
f. zikog pristupa
3. Kkruenje IKT sistema su:
i/ili komponente RM
Deklasikacija medija: uklanjanje/redukcija
nivoa klasikacije medija ili opreme.
Demagnezacija medija: smanjuje gusnu
magnetnog uksa primenom reverznog mag-
netnog polja i ini neitljivim prethodno snim-
ljene podatke.
Fizika zata IKTS i okruenja: zasniva se na
standardima i principima dobre prakse zate
znaajnih objekata i obuhvata mere ziko
tehnike zate zgrada i okruenja IKTS.
Fiziki objek: zgrade, druge graevinske struk-
ture ili vozila u kojima su smeteni IKTS i/ili
komponente raunarske mree.
Operavna lokacija: odreuje se karakteris-
kama prirodnih i humanih pretnji i sekundarne
tete od drugih faktora rizika.
Intercepcija podataka: presretanje informacija
na prenosnom putu i prislukivanje bez znanja
legalnih korisnika: direktna opservacija, inter-
cepcija podataka u prenosu i TEMPEST inter-
cepcija elektronskih signala putem KEMZ.
Saniranje medija: proces brisanja to je
mogue vie podataka i informacija sa medija ili
kompjuterske opreme.
TEMPEST (Transient ElektroMagnec Pulse
Surveillance Technology): tehnologija za EM
intercepciju KEMZ signala ili (Transient Elektro
Magnec Pulse Emanang Standard) stan-
dard za zatu od KEMZa, koji denie naine
redukcije KEMZ signala.
Viekratno presnimavanje megnetnih medija:
metod ekasnog brisanja podataka uzastopnim
binarnim 1, i 0 i ponavljanjem ciklusa vie
puta.
Zata okruenja IKTS: obezbeuje zatu
tehnikih objekata, tehnikih i ljudskih servisa
koji pomau i podravaju rad IKTS (napajanje,
grejanje, hlaenje i telekomunikacije).
292
KO FOJ
b. prostorne karakteriske prirodnih pret-
nji (zemljotres, poplava i dr.)
c. humane pretnje (provale, neredi, inter-
d. sekundarna oteenja, (izlivanje
EM interferencije)
e. servisi za podrku rada IKTS (napajanje,
f. ziki pristup
4. &izika zata IKTS i okruenja obezbeuje
i zatu zaposlenih, a teino je usmerena
na zatu IKTS od:
a. prekida davanja servisa (DoS)
b. krae raunarske opreme
c. zikog oteenja
d. napada malicioznih programa
e. neovlaenog otkrivanja informacija
f. gubitka kontrole integriteta IKTS
g. naruavanja privatnos legalnih koris-
nika
5. Mere zike zate se grupiu u sledee
glavne oblas:
a. barijere za ziki pristup
b. zata od snene lavine
c. sistemi za grejanje, hlaenje i ven-
lacija
d. zata od vlage
e. kolaps zike strukture, vodovodne
instalacije
f. prislukivanje podataka i ucaj EM
smetnji
g. mobilni ili prenosni IKTS
6. Ksnovni naini prislukivanja podataka su:
a. intercepcija transmisije podataka
b. beino prislukivanje
c. direktno osmatranje
d. elektromagnetska intercepcija
kompromitujueg zraenja (KEMZ)
e. ino indukvno prislukivanje
f. elektromagnetska interferencija
7. Procese saniranja prenosnih medija i kom-
pjuterske opreme je:
a. brisanja to je mogue vie podataka sa
medija ili raunarske opreme, koje
b. ne unitava i ne menja automatski
klasikaciju medija/opreme
c. uklanjanje ili redukcija nivoa klasi-
kacije medija/opreme na bazi procene
rizika,
d. odluke o otkrivanju preostalih podata-
ka, procene ugovornih obaveza i even-
tualne prodaje, odlaganja i popravke
opreme
e. smanjenje gusne magnetnog uksa,
primenom reverznog magnetnog polja
8. Procese deklasikacije prenosnih medija i
kompjuterske opreme je:
a. brisanje to je mogue vie podataka sa
rizika, odluke o otkrivanju preostalih
podataka, procene ugovornih obaveza
i eventualne prodaje, odlaganja i po-
pravke opreme
d. smanjenje gusne magnetnog uksa,
9. Proces demagnezacije prenosnih medija i
kompjuterske opreme je:
a. brisanje to je mogue vie podataka sa
rizika, odluke o otkrivanju preostalih
podataka, procene ugovornih obaveza
i eventualne prodaje, odlaganja i po-
pravke opreme
d. smanjenje gusne magnetnog uksa,
10. Prvi standardni nivo saniranja medija
obuhvata:
a. svi magnetski mediji uniteni
b. svi magnetski mediji su uniteni
c. laserski printer/kopir je saniran prema
propisanom metodu
d. osetljiva memorija nije sanirana
e. laserski printer/kopir nije saniran
293
UJJ O FOJ
11. Drugi standardni nivo saniranja medija
obuhvata:
a. osetljiva memorija je sanirana prema
propisanom metodu
b. magnetski mediji su sanirani propi-
sanom demagnezacijom ili presnima-
vanjem
c. magnetski mediji su sanirani pro-
pisanom demagnezacijom ili 23
strukim presnimavanjem u skladu sa
procenom rizika (uzimajui u obzir
cenu medija ili cenu prodaje, koliinu
podataka i informacija i mogunost
popravke)
d. nivo deklasikacije mora bi barem dva
nivoa nii od originalne
12. Trei standardni nivo saniranja medija
obuhvata:
a. laserski printer/kopir nije propisno
saniran
b. osetljiva memorija je sanirana prema
propisanom metodu na osnovu
procene rizika, uzimajui u obzir cenu
medija ili prodaje, koliinu podataka i
informacija i mogunost popravke
c. svi magnetski mediji su uniteni
d. osetljiva memorija nije sanirana prema
propisanom metodu
13. etvr standardni nivo saniranja medija
obuhvata:
a. magnetski mediji su sanirani pro-
pisanom demagnezacijom ili 23
strukim presnimavanjem u skladu sa
procenom rizika
b. nivo deklasikacije mora bi barem dva
nivoa nii od originalne
c. svi laserski printeri/kopiri uniteni
d. sve osetljive memorije unitene
e. laserski printer/kopir je saniran prema
propisanom metodu
14. Kp kriterijumi za izbora i implementaciju
mera zike zate su:
a. mere zate se zahtevaju prema zakonu
i regulavi
b. mere zate zahteva menader orga-
nizacije
c. trokovi su beznaajni, ali je korist
znaajna
d. trokovi su veliki, ali je korist znaajna
e. zata IKTS spreava potencijalno
fatalne napade, ali su trokovi veliki
f. procenjuje se da je mera IKTS zate
rentabilna
g. procenjuje se da je mera IKTS zate
nerentabilna
15. Integrisanu ziku infrastrukturu sistema
zike zate okruenja IKTS ine:
a. UPS sistem sa distribucijom, sistem za
kontrolu vlanos vazduha, sistem za
video nadzor, centralnu plaormu za
upravljanje i monitoring
b. UPS sistem sa distribucijom, sistem
klimazacije sa distribucijom hladnog
vazduha, sistem senzora za nadzor
okruenja, centralnu plaormu za
upravljanje i monitoring
c. UPS sistem sa distribucijom, sistem
klimazacije, slubu obezbeenja,
sistem senzora za kontrolu perimetra,
centralnu plaormu za upravljanje i
monitoring
16. Konvergenciju logike i zike kontrole
pristupa omoguavaju sledee tehnoloke
integracije:
a. ita zikog pristupa povezan sa PPZ
sistemom
b. ita zikog pristupa povezan sa siste-
mom za video nadzor
c. mrena barijera sa IDPS sistemom
d. AVP instaliran u mrenoj kapiji
e. nadzor i upravljanje protokom ljudi i
opreme kroz zike objekte
f. upravljanje pristupom, kontrola proboja
perimetra i zauzetos prostorija
17. Razlozi koji opravdavaju konvergenciju lo-
gike i zike kontrole pristupa su:
a. smanjenje ukupnih trokova zate i
ekasnija kontrola pristupa
b. centralizovana evidencija povreda siste-
ma zate
c. nadzor i kontrola u realnom vremenu
d. nadzor i kontrola u o ine reimu
e. jedinstveni proces i lokacije za izdavanje
zikih/logikih idenkatora
f. smanjenje obima rada na planiranju
zate
294
KO FOJ
7.
UPRAVLJANJE PERSONALNOM ZATITOM
7.1. UVOD
Veina vanijih pitanja zate ukljuuje ljudski faktor korisnike, projektante, speci-
jaliste za implementaciju i menadere zate. airok spektar pitanja personalne zate
odnosi se na interakciju ovih lica sa objekma informacione imovine, u procesu pristupa
i autorizacije.
Personalna zata obuhvata i popunu kadrova za rad u IKTS i ire u organizaciji,
administraciju korisnika, koji rade sa objekma sistema, ukljuujui zabranu pristupa
zaposlenih odreenim objekma IKTS, kao i administraciju pristupa javnim servisima i
pristupa zaposlenih po ugovoru. Personalna zata usko je vezana sa servisima logike i
zike kontrole pristupa.
7.2. PROCES POPUNE RADNIH MESTA U IKTS
Proces popune radnih mesta u IKTS (Sl. 7.1), primenljiv na korisnike i menadere
aplikacija, menadere IKTS i specijaliste zate, ukljuuje eri faze: (1) denisanje rad-
nog mesta, (2) odreivanje najvieg nivoa osetljivos objekata IKTS, (3) popunu radnih
mesta i (4) obuku [43].
Sl. 7.1. Proces popune zaposlenih u IKT sistemu
295
UJJ O FOJ
U fazi denisanja i opisa radnih mesta, moraju se razmatra sva pitanja zate. Kada
se radno mesto denie u opm crtama, odgovorni menader treba da odredi p pris-
tupa IKTSu za to radno mesto. Kod odreivanja prava pristupa treba primenjiva opte
principe razdvajanja dunos, davanje minimalnih privilegija i pristupa samo informaci-
jama koje treba zna (engl., need to know) za obavljanje posla. Razdvajanje dunos
odnosi se na deljenje uloga i odgovornos, tako da ni jedan pojedinac nije nezamenljiv
i da ne moe sabora krine procese. Denisanje radnih mesta i dunos zaposlenih,
obaveza je menadera. Minimum privilegija znai da se korisniku daje samo pristup neo-
phodan za rad, a ne da ima ekstremno malo prava pristupa.
U optem sluaju za smanjenje rizika, efekvnije je primenjiva principe za osetlji-
va radna mesta, nego bezbednosnu zatu zaposlenih. Primena ovih principa moe
ogranii tete od sluajnog incidenta, greaka ili neovlaenog korienja IKTS. Primena
minimuma privilegija ne sme uca na zamenljivost zaposlenih na odreenim radnim
mesma. Kod odreivanja privilegija, treba konsultova zahteve iz plana upravljanja VD
i kompjuterskim incidentom.
7.2.1. Odreivanje osetljivosti radnog mesta
Za odreivanje osetljivos radnog mesta potrebno je poznava opis radnog mesta i
nivoe pristupa, koje zahteva. Kdgovorni menaderi treba da korektno idenkuju nivoe
osetljivos radnog mesta, tako da se moe komplera odgovarajua i rentabilna per-
sonalna zata. U optem sluaju, razlii nivoi osetljivos pripisuju se razliim radnim
mesma, na bazi stepena tete, koju korisnici mogu izazva pristupom osetljivim infor-
macijama, procesiranim na radnom mestu. Broj osetljivih radnih mesta treba da bude
racionalan, poto zata veeg broja osetljivih radnih mesta zahteva vie resursa, a suvie
mali broj moe izazva veliki rizik [35].
7.2.2. Popuna radnih mesta i izbor zaposlenih
&aza popune radnih mesta, poinje sa objavljivanjem javnog konkursa u kojem se
navodi, koji prol kandidata se zahteva i za koje radno mesto. Radna mesta se svrstavaju
u kategorije prema osetljivos materijala i informacija kojima se rukuje na tom radnom
mestu, a menaderi proveravaju poverljivost i pouzdanost lica za konkretno radno mesto.
Bezbednosna provera kandidata pomae da se odredi podobnost nekog lica za odreeno
radno mesto i moe bi jedan od uslova za zapoljavanje. Dok se bezbednosna provera
ne zavri, zaposleni se ne moe zvanino rasporedi na osetljivo radno mesto, ni ima
pristup osetljivim informacijama i objekma IKTS.
U javnom sektoru bezbednosna provera pino obuhvata proveru krivinog dosijea u
policiji, a detaljna obuhvata radnu istoriju, obrazovanje, spisak pokretne i nepokretne
imovine u vlasnitvu, upotrebu zabranjenih supstanci, intervjue i razgovore sa kolegama,
296
KO FOJ
prijateljima itd. Kbim i intenzitet provere zavise od osetljivos radnog mesta. Ako bez-
bednosna provera utvrdi kompromitaciju, ne znai da lice automatski nije podobno za
neko drugo radno mesto.
U civilnom sektoru bezbednosna provera lica je promenljiva i neujednaena i ugla-
vnom se svodi na proveru linih kvalikacija, radnog iskustva i hobija, koje kandida
dostavljaju uz zahtev za radno mesto. Kbino se novo lice postavlja na manje osetljivo
radno mesto. Zaposleni u civilnom sektoru, koji rade za dravnu upravu, mogu bi pod-
vrgnu kompletnoj bezbednosnoj proveri. Kdluku treba done u odnosu na vrstu posla,
rezultate provere i druge relevantne faktore [35].
7.2.3. Obuka zaposlenih
Popuna radnog mesta nije zavrena prijemom lica na neko radno mesto. Zaposleni
moraju zavri pripravniki sta i obui se za poslove na radnom mestu, ukljuujui i
za rad na raunaru i odgovornos u procesu zate. U okviru ove obuke treba promo-
visa svest o potrebi zate i opte principe zate IKTS. Na bazi analize rizika, daje im
se pristup samo linim raunarima, sve dok se bezbednosna provera i obuka ne zavre.
Adekvatno obueni zaposleni od presudnog su znaaja za efekvno funkcionisanje IKTS
i aplikacija, pa je obuka novih korisnika krian faktor personalne zate. Kbuka i obra-
zovanje u za su neprekidni procesi, koji se moraju izvrava sve dok zaposleni koriste
IKTS [35].
7.3. UPRAVLJANJE KORISNI,KIM NALOZIMA
Efekvno administriranje pristupa korisnika IKTS-u bitno je za odravanje sistema
zate i upravljanje korisnikim nalozima, koje obuhvata servise idenkacije, auten-
kacije i autorizacije, nadzora, kontrole i revizije i verikacije legimiteta naloga i ovla-
enja pristupa.
Proces upravljanja korisnikim nalozima ukljuuje tri faze: (1) podnoenje zahteva,
otvaranje, izdavanje i zatvaranje korisnikih naloga, (2) praenje korisnika i njihovih
odnosnih prava za pristup i (3) upravljanje ovim funkcijama [2].
Proces pino poinje sa upuivanjem, menaderu/administratoru IKTS, zahteva
prvog menadera za otvaranje korisnikog naloga zaposlenog. Za pristup nekoj aplikaciji,
zahtev podnosi vlasnik aplikacije menaderu IKTS. Zahtev sadri nivo pristupa, kojeg
treba dodeli na osnovu radne funkcije ili specikacije korisnikog prola grupe zapo-
slenih, koji obavljaju iste poslove. Nivo pristupa po ovom nalogu mora bi konzistentan
sa zahtevom menadera, a pridruena ovlaenja selekvna. Za pristup aplikaciji kori-
snici se mogu naknadno dodava.
297
UJJ O FOJ
Zaposlene je potrebno informisa o njihovim nalozima. Povezivanje korisnikog
imena sa poloajem na radnom mestu (RBAC model LAC) moe pojednostavi adminis-
travni rad, ali oteava reviziju i eventualnu forenziku istragu. Povezivanja korisnikog
imena sa individualnim korisnikom ima vee prednos. Za svaki pristup moraju se us-
postavi procedure za upravljanje promenama posla (ostavka, penzionisanje i dr.). Ko-
risno je obezbedi dodatnu obuku zaposlenih, kada dobiju svoje naloge, kao to je re-
vizija polike za pristup objekma IKTS. Eventualno, treba zahteva potpisivanje Izjave o
prihvatanju korisnikog naloga i pridruene lozinke pa: Ja (dole potpisani) priznajem da
sam lino primio lozinke za pristup IKTS, pridruene dole navedenim korisnikim nalozima.
Shvatam i prihvatam svoju odgovornost za zatu lozinke i obavezujem se da sprovodim
sve primenljive standarde zate IKTS i da nikome ne otkrivam lozinke. Dalje, shvatam i
prihvatam da moram izves menadera IKTS zate o svakom problemu kojeg uoim u
korienju lozinke ili kada imam razloge da verujem da je poverljivost mojih lozinki kom-
promitovana. Pre potpisivanja korisnika i poetka perioda vanos, sva dokumenta
zate treba da pregleda pravnik [55].
Kada se korisniki nalozi vie ne koriste, supervizor treba da obaves menadera ap-
likacija i administratora sistema, tako da se is blagovremeno ukinu. Kvlaenja za pris-
tup mogu bi trajna, ili privremena. Administriranje pristupa i ovlaenja je konnualan
proces novi korisniki nalozi se dodaju, a stari briu. Praenje i auriranje tragova pro-
mena aplikacija nije lako, ali je vano dopus korisnicima pristup samo aplikacijama neo-
phodnim za izvravanje poslova. Takoe, treba uravnotei zahteve za ekasnost servisa
i evidenciju relevantnih dogaaja, koja je neophodna za upravljanja i istragu kompjuter-
skog incidenta. Centralizovano upravljanje procesom korisnikog pristupa daje najbolje
rezultate, ali je esto decentralizovano, posebno za vee IKTS, gde se administratorima
regionalnih i lokalnih RM dodeljuju ovlaenja da kreiraju naloge i menjaju korisnika
ovlaenja ili zahtevaju neophodne promene na centralnoj lokaciji.
7.3.1. Revizija prakse upravljanja korisnikim nalozima
Praksu upravljanja korisnikim nalozima potrebno je povremeno kontrolisa na nivou
aplikacija i IKTS. Treba proverava nivoe pristupa, korienje privilegija, akvnost nalo-
ga, aurnost upravljakih ovlaenja, kompletnost obuke korisnika itd. Kontrolu i reviziju
mogu vri: interni i spoljni revizori ili administratori zate. Dobra praksa je da menader
aplikacija (vlasnik podataka) meseno kontrolie sve nivoe pristupa, svih korisnika ap-
likacija i formalno odobrava listu pristupa. Menader aplikacija esto jedini zna tekue
zahteve za pristupe. Nezavisni revizor sistema zate moe detaljnije ispita ovlaenja
za logiki i ziki pristup.
298
KO FOJ
7.3.2. Detekcija nelegalnih aktivnosti zaposlenih
Pored kontrole i revizije zate IKTS i analize kontrolnih tragova postoji nekoliko me-
hanizama za detekciju nelegalnih akvnos. Na primer, prevare koje zahtevaju ziko
prisustvo poinioca, mogu se otkri na osnovu odsustva zaposlenog. Treba izbegava
stvaranje prekomerne zavisnos od pojedinaca, posebno u dravnim organizacijama
i periodino obnavlja bezbednosnu proveru zaposlenih, koja moe da indikacije o
moguim ilegalnim akvnosma i pretnjama za IKTS. Takva lica treba iskljui, kao
nepouzdana za rad u IKTS.
7.3.3. Privremena zamena i interni transeri zaposlenih
Aurno odravanje korisnikih ovlaenja za pristup je znaajan aspekt upravljanja
IKTS. Korisnika ovlaenja pino se menjaju u sluaju privremene ili stalne promene
posla i otkaz sa posla iz bilo kojeg razloga [2].
esto se od korisnika zahteva da izvravaju poslove izvan njihovog delokruga rada,
u toku odsustva drugih zaposlenih. Kvo zahteva dodatna ovlaenja pristupa, koja se
moraju izdava propisno, paljivo nadzira i bi konzistentna sa principom zajednikog
obavljanja posla. Kva se ovlaenja moraju brzo ukloni kada vie nisu potrebna. Stalne
promene su neophodne kada zaposleni menjaju radno mesto u organizaciji, pa se
zbog mogue zloupotrebe, obnavljaju procesi davanja ovlaenja po nalogu i ukidanja
ovlaenja prethodnog korisnika [35].
7.3.4. Ukidanje naloga
U optem sluaju, ukidanja naloga korisnika mogu bi prijateljska ili neprijateljska.
Prijateljsko je kada se zaposleni dobrovoljno premeta, odbije da prihva drugi poloaj
ili ode u penziju. Neprijateljsko ukidanje je kada se zaposleni otputa sa posla zbog
vika ili mimo njegove volje. Prva vrsta ukidanja naloga i prava pristupa mnogo je ea,
ali se obe moraju razmatra.
Prijateljsko ukidanje naloga odnosi se na regularno, uzajamno saglasno udaljavanje
zaposlenog iz organizacije i primenu standardnih procedura za otputanje/transfer zapo-
slenih. Kvo zahteva blagovremeno ukidanje naloga u IKTS, potpisivanje dokumenta o ot-
kazu, vraanje kljueva, knjiga iz biblioteke, regulisanje drugih ne-informakih pitanja,
kontrolu stanja dokumenata na vrstom disku, skladitenja i bekapovanja. Zaposlenom
treba da instrukciju o ienju raunara pre odlaska. Ako je koriena kriptozata, od
zaposlenog se moraju uze i izmeni kriptografski kljuevi, oduze smart karce ili drugi
autenkacioni tokeni. Mora se razmatra i obaveza uvanja poverljivos podataka i in-
formacija i proveri da li je zaposlenom potpuno jasno, koje podatke i informacije moe,
299
UJJ O FOJ
a koje ne moe otkri na novom radnom mestu. Ne-prijateljsko ukidanje naloga je prov
volje i bez pristanka zaposlenog. Ukljuuje otkaz zbog ne-prijateljskog ponaanja zaposle-
nog, smanjenja radnih mesta, transfer prov volje, otkaz zbog sukoba linos ili iz bez-
bednosnih razloga i sl. Procedura ukljuuje sve akvnos kod dobrovoljnog otputanja
sa posla, s m da je neka pitanja znatno tee reava zbog potencijalne nesaradnje ili
opstrukcije otputenog. Najvea pretnja od ovakve vrste otputanja zaposlenog dolazi
od informaara koji mogu da izmene programski kd, modikuju konguraciju sistema
ili aplikacije ili na drugi nain zloupotrebe IKTS. Korekcija ovih akcija moe bi zahtevna,
skupa i dugotrajna.
7.3.5. Personalna zatita spoljnih saradnika po ugovoru
Saradnici pod ugovorom koji obavljaju poslove u IKTS, obino se angauju na krai
vremenski period od regularno zaposlenih, to moe uca na rentabilnost zate.
Angaovanje ovih lica podrazumeva odgovarajuu bezbednosnu proveru, u zavisnos
od osetljivos mesta na koje se lice angauje.
7.3.6. Personalna zatita u IKTS sa javnim pristupom
U sistemima sa javnim pristupom (e-uprava, akademska mrea itd.), glavni zadatak
IKTS je nesmetan, ekasan i efekvan javni pristup korisnika. U nekim sluajevima
razmena podataka i informacija je interakvna izmeu IKTS i drugih uesnika. U optem
sluaju, kada su IKTS namenjeni za javni pristup, javljaju su dodatni bezbednosni prob-
lemi zbog porasta pretnji, tee administracije i odravanja zahtevanog nivoa zate in-
formacija [55].
Generalno, moe se tvrdi da su za sistem za javni pristup, faktori rizika vei, a esto
su vea i ogranienja za korienje objekata i servisa h sistema. Pored poveanog rizika
od napada spolja, IKTS sa javnim pristupom moe bi predmet malicioznih akvnos
iznutra (npr. nezadovoljni zaposleni moe une greku, virus i sl. u datoteke sistema)
sa ciljem nanoenja tete. Napadi na sisteme sa javnim pristupom mogu ima znaajan
ucaj na reputaciju organizacije i poverenje klijenata/partnera/korisnika. Drugi bezbed-
nosni problemi mogu nasta zbog nenamernih greaka neobuenih korisnika. U IKTS
koji nemaju javni pristup, postoje procedure za ukljuivanje korisnika u obuku, a esto
se zahteva i potpisivanje izjava o odgovornos korisnika u sistemu zate. Pored toga,
mogu se formira proli korisnika, a sa sosciranim mehanizmima kontrole, mogu se
otkri neuobiajene akvnos korisnika. U sistemima sa javnim pristupom korisnici su
obino anonimni, to znaajno komplikuje administraciju zate [35].
300
KO FOJ
7.3.7. Uspostavljanje tima za zatitu inormacija
Tim za zatu treba da bude sastavljen od strunjaka i profesionalaca, movisanih za
rad u za informacija. Broj profesionalaca za zatu informacija u svetu se procenjuje
na oko 1,66 miliona (2010.), sa tendencijom rasta na 2,7 miliona (2012.). Pokazalo se da
ova profesija dobro opstaje u kriznim vremenima, sa trendom rasta zarada (SANS Ins-
tute, 2008.: test grupa od 2100, od njih 4,38% imali godinju zaradu 100.000 USD i vie;
75% ima diplomu inenjera i veu).
Ksnovna podela rada u oblas zate informacija je na tehnike i upravljake ak-
vnos, na bazi koje se grupiu i zadaci lanova ma za zatu (Tabela 1).
Tabela 7.1. Ksnovna podela zadataka u mu za upravljanje zatom informacija
Tehniki Upravljaki
Raunarske mree Polika zate
Sistemski programi (KS ...) Procedure zate
Aplikavni programi Uputstva zate
Tehniki zadaci zahtevaju komandnu liniju ili graki korisniki interfejs, a akvnos
zahtevaju dobro razumevanje principa zate i tehnike implementacije i integracije.
Upravljake akvnos u za informacija ukljuuju generisanje polike zate, to
zahteva lice, koje razume poslovne procese, podrku IKTS poslovanju, bezbednosne
zahteve i osnovne principe zate informacija. Kvi zadaci zahtevaju, uglavnom, procesor
teksta. Iako su tehnike i upravljake akvnos razliite, potrebna je razmena informaci-
ja i meusobno razumevanje obima poslova. Na bazi osnovne podele zadataka, dele se
uloge i odgovornos u za, a u praksi zate, na bazi svakodnevnih akvnos, mogu
se diferencira sledee proirene uloge u oblas zate informacija (Tabela 7.2).
Tabela 7.2. Proirene uloge u mu za zatu u praksi zate
Tehnike uloge Upravljake uloge
Tester sistema zate (security tester) Autor i pisac polike zate (policy writer)
Rukovaoc incidenta (incident handler)
Portparol zate (security communicator): markeng
u za (svest o potrebi, obuka..) voenje nove poli-
ke zate
Administrator zate:
ureaja zate (IDPS, barijera, skener)
Koordinator zate (security coordinator)
Administrator zate:
korisnikih naloga i kontrole pristupa
Rukovodilac ma za zatu (security team facilitator)
Kperator nadzora sistema zate Pripravnik zate (security trainee)
Tim za UR/zatu treba da isporui najbolje mogue servise zate i ostvari najveu
vrednost za poslovni sistem. Standardi najbolje prakse preporuuju da:
301
UJJ O FOJ
1. Tim za UR treba da:
obezbedi scenario, na bazi procene rizika, sa predlogom akcionog plana;
razumljivim jezikom upozna menadment sa stvarnim faktorima rizika i prih-
va odluku o daljem postupku;
evidenra sve date informacije o riziku i odluke menadmenta;
skuplja informacije o poslovnim planovima i strategiji razvoja, ak i na nefor-
malan nain;
izvri akcije prema planu i strategiji razvoja na to bezbedniji nain i izvetava
o progresu.
2. Menadment treba da:
obezbedi potrebne ljudske, nansijske i materijalne resurse i organizacionu
nezavisnost ma u radu;
obezbedi kriterijume, zasnovane na injenicama, potrebne za procenu prih-
vatljivog rizika;
regularno komunicira sa Timom za UR;
koris rezultate Tima za UR za razvoj strategije poslovanja i markeng, u i iz-
van organizacije;
menja onu stranu koja ne izvrava svoje obaveze i ne sledi ova uputstva.
7.4. REZIME
Personalna zata obuhvata popunu kadrova za rad u IKTS organizacije, adminis-
traciju korisnika koji rade sa objekma IKTS, ukljuujui zabranu pristupa zaposlenih
odreenim objekma IKTS, kao i posebnu administraciju pristupa javnim servisima i
pristupa zaposlenih po ugovoru.
Proces popune radnih mesta u IKTS generalno ukljuuje najmanje eri koraka i
moe se primeni, na is nain, na opte korisnike, menadere i specijaliste zate:
denisanje radnog mesta, odreivanje najvieg nivoa osetljivos informacija, popunu
radnih mesta i izbor i obuku zaposlenih.
Efekvno administriranje pristupa korisnika sistemu bitno je za odravanje bezbed-
nos IKTS. Upravljanje korisnikim nalozima obuhvata idenkaciju, autenkaciju, au-
torizaciju, kontrolu i reviziju pristupa. Uvek postoji realna potreba kontrole i povremene
modikacije naloga ili ukidanja prava pristupa i razmatranja drugih pitanja vezanih za
lica koja daju ostavke, da budu unapreena na vie radno mesto, dobiju otkaz ili se
penzioniu.
Uloge lanova ma za zatu biraju se na bazi osnovne podele akvnos zate na
tehnike i upravljake, kao i na bazi prakse zate.
302
KO FOJ
Bezbednosna provera: utvrivanje da li je neko
lice podobno za osetljivo radno mesto.
Minimum privilegija: bezbednosni zahtev da se
korisniku daje samo ona vrsta pristupa koja mu
treba za obavljanje posla.
Osetljivost radnog mesta: nivo krinos rad-
nog mesta za poslovanje.
Personalna zata: ukljuuje bezbednosno
pokrivanje svih uesnika u IKTS.
Razdvajanje dunos: deljenje uloga i odgovo-
rnos tako da niko nije nezamenljiv.
Ukidanje naloga: moe bi prijateljsko sa i ne-
prijateljsko, bez pristanka korisnika.
Upravljanje korisnikim nalozima: podnoenje
zahteva, izdavanje i zatvaranje korisnikih na-
loga, praenje i upravljanje pravima za pristup
korisnika.
1. Glavne faze u procesu popune radnih mesta
u IKTS su:
aq. denisanje, odreivanje prola, popuna
i obuka za radno mesto
b. denisanje, odreivanje osetljivos i
popuna radnog mesta
c. denisanje, odreivanje osetljivos, po-
puna zahteva i obuka za radno mesto
d. denisanje, odreivanje osetljivos i
obuka za radno mesto
2. Sistemski princip razdvajanja dunos
ukljuuje:
a. bezbednosni zahtev koji oznaava da
se korisnicima daju samo pristupi neo-
phodni za obavljanje poslova
b. odnosi se na deljenje uloga i odgovo-
rnos tako da ni jedan pojedinac nije
nezamenljiv i da ne moe sabora
krine procese
c. denisanje dunos zaposlenih na vie
radnih mesta
d. oznaava da korisnici imaju ekstremno
malo prava pristupa objekma sistema
3. Sistemski princip davanje minimuma privi-
legija ukljuuje:
a. bezbednosni zahtev koji oznaava da
se korisnicima daju samo pristupi neo-
phodni za obavljanje poslova
b. odnosi se na deljenje uloga i odgovo-
rnos tako da ni jedan pojedinac nije
nezamenljiv i da ne moe sabora
krine procese
c. denisanje radnih mesta i dunos za-
poslenih
d. oznaava da korisnici imaju ekstremno
malo prava pristupa objekma sistema
4. Krini faktor personalne zate za orga-
nizaciju ukljuuje:
a. obuku zaposlenih
b . upravljanje korisnikim zahtevima
c. upravljanje personalnom zatom
d. popunu radnih mesta
5. Proces upravljanja korisnikim nalogom
obuhvata sledee kljune faze:
a. podnoenje zahteva, otvaranje, izda-
vanje i zatvaranje korisnikih naloga,
praenje korisnika i njihovih autorizaci-
ja, upravljanje ovim funkcijama
b. podnoenje zahteva, otvaranje, izdavan-
je i zatvaranje korisnikih naloga,
c. upravljanje zahtevima, otvaranje i zat-
varanje naloga i praenje autorizacija
6. Koju meru najpre treba preduze kada je
otputen radnik koji ima RS i pristup LAN
u?:
303
UJJ O FOJ
a. ukidanje korisnikog naloga
b. izmena korisnike lozinke i zabrana pristupa raunaru
c. oduzimanje kljueva od kancelarije
7. Ukidanje korisnikih naloga u optem sluaju se moe okarakterisa kao:
a. slubeno i neslubeno,
b. prijateljsko i ne-prijateljsko
c. pravedno i nepravedno
8. Angaovanje spoljnih saradnika u za IKTS:
a. zahteva obavezno bezbednosnu proveru
b. ne zahteva bezbednosnu proveru
c. zahteva bezbednosnu proveru u zavisnos od osetljivos radnog mesta
9. Proli lanova ma za upravljanje rizikom/zatom informacija, dele se na bazi osnovne podele
rada u oblas zate informacija:
a. sovera i hardvera
b. tehnike i upravljake
c. raunarskog sistema i raunarske mree
d. kontrola zate i polika zate
10. Poveite odgovarajue tehnike i upravljake zadatke lanova ma za zatu:
Tehniki Upravljaki
1. Raunarske mree a. Procedure zate
2. Sistemski programi (KS ...) b. Uputstva zate
3. Aplikavni programi c. Polika zate
11. Poveite uloge u organizaciji sa zadacima u za informacija:
Uloga Zadaci
Tim za zatu/
UR
a. obezbedi scenario, na bazi procene rizika, sa predlogom akcija
b. obezbedi vrste kriterijume potrebne za procenu prihvatljivog rizika
c. obezbedi potrebne resurse i organizacionu nezavisnost ma u radu
d. koris rezultate ma za UR za razvoj strategije poslovanja i markeng
e. vri akcije prema planu razvoja na to bezbedniji nain i izvetava
Menadment
organizacije
f. evidenra sve date informacije o riziku i odluke menadmenta
g. razumljivim jezikom upozna menadment sa rizikom i prihva odluku
h. da regularno komunicira sa mom za UR
i. skuplja informacije o poslovnim planovima i strategiji razvoja
j. stranu koja ne slede ova uputstva, treba menja
304
KO FOJ
8.
UPRAVLJANJE OBUKOM I
OBRAZOVANJEM U ZATITI
8.1. UVOD
ujem i zaboravim, vidim i zapamm, uradim i shvam Kineska poslovica.
Najslabijom komponentom sistema IKTS zate smatraju se korisnici ljudi. Kva
se komponenta zate moe ojaa razvojem programa za podizanje sves o potrebi
zate, obuku za scanje vena i za formalno obrazovanje u oblas zate.
Samo korisnici, svesni svoje odgovornos i dobro obueni, mogu menja svoje
ponaanje i povea odgovornost, koja je najznaajnija za poboljanje zate. Promena
stava korisnika, prvi je korak u promeni ponaanja. Tek sa poznavanjem potreba i mera
zate, korisnici mogu isnski prihva odgovornos za svoje akcije i sprovodi poliku
zate. Nacionalni zakoni moraju obaveza menadere, korisnike i operatere sistema na
obaveznu edukaciju i obuku, adekvatnu ulogama i odgovornosma u za. Programi
za razvoj sves o potrebi zate, obuku i obrazovanje u za, viestruko su korisni za
organizaciju i zahtevaju posebne metode i tehnike za implementaciju. Presudni su za
uspeh programa za zatu u celini, jer ako zaposleni nisu dobro informisani o polici i
procedurama zate, ne moe se oekiva da rade efekvno na za informacija.
8.2. RAZVOJ SVESTI, OBUKA I OBRAZOVANJE U ZATITI
Program za razvoj sves o potrebi zate i obuku o za IKTS ukljuuje rri faze:
projektovanje, pripremu materijala, implementaciju i analizu i evaluaciju realizacije pro-
grama [101]. Kvalitetan program za razvoj sves o potrebi zate i obuku o za IKTS
zasniva se na tri kljuna faktora: (1) polici i planu zate na bazi poslovnih potreba i
procene rizika, (2) upoznavanju korisnika sa odgovornosma u za i (3) uspostavljanju
305
UJJ O FOJ
procesa za monitorisanje i evaluaciju programa zate. Dobar model za obuku nudi
standard CKBIT. Kljuni indikatori performansi obuke KPI (Key Performance Indicators)
mogu bi: procenat polaznika obuke, vremenski period izmeu idenkacije potrebe
za obukom i same obuke, vrste interne i eksterne obuke, procenat obuenih korisnika o
ekim principima i praksi zate, broj incidenata po broju zaposlenih itd. [75].
Za evaluaciju i merenje nivoa ostvarivanja ciljeva programa obuke, deniu se krini
faktori uspeha CSF (Crical Success Factors), kao to su: potrebni resursi, celovitost,
znaaj za karijeru, idenkovanje i dokumentovanje potreba, blagovremenost obuke,
menaderska podrka obuke, zahtev polike zate itd.
Ljudski faktor je najbitniji u za i moe nane veu tetu od svih drugih izvora
pretnji zajedno. Cilj ove komponente zate je da se smanje sluajne greke, prevare i
neovlaene akvnos nezadovoljnih zaposlenih. Po pravilu, menaderi treba da daju
primer i odreuju pravila ponaanja prema za. Ako zaposleni znaju da menaderi
ne obraaju panju na zatu, ni jedan program ne moe bi efekvan. Zato je lidersko
ponaanje od presudnog znaaja.
Program obuke je krian za upoznavanje zaposlenih i nametanje obaveze
sprovoenja polike zate. Ne moe se oekiva da zaposleni sprovode poliku i pro-
cedure zate ili prihvataju sankcije, ako sa njima nisu upozna. Kbuka ukazuje da je
primenjen standard profesionalne odgovornos za zatu informacija, pa mnoge orga-
nizacije koriste formu izjave o prihvatanju kojom se zaposleni obavezuje da je proitao i
razumeo bezbednosne zahteve.
8.2.1. Program za razvoj svesti o potrebi zatite
Razvoj sves o potrebi zate nije u kategoriji obuke. Namenjen je za usmerava-
nje panje menadera i zaposlenih na zatu, prepoznavanje bezbednosnih problema
i adekvatno reagovanje. Razvoj sves o potrebi zate movie menadere i zapo-
slene da se odgovorno odnose prema za, ise u kojoj meri i kako zata doprinosi
produkvnos i kakve su posledice loe zate. Dobro je izaziva izvestan oseaja straha
navodei drasne sluajeve tete od upada u sistem, ali i razbi odbojnost zbog nera-
zumevanja zate [35].
Program razvoja sves o potrebi zate moe ima razliite forme za razliite grupe
uesnika. Tipini izvori materijala su obrazovne instucije, baze znanja na Internetu,
profesionalne organizacije i proizvoai proizvoda zate, asopisi o za, konferen-
cije, seminari i kursevi o za i dr. Brojne su i raznovrsne tehnike i metode za impleme-
ntaciju programa, ukljuujui video, mulmedijalne CD prezentacije, tampu, postere,
biltene, prospekte, demonstracije, razgovore i predavanja. Program se obino ugrauje
u osnovnu obuku o za i moe koris svaki metod, koji menja stav zaposlenih prema
za. Efekvan program za razvoj sves o potrebi zate treba da obezbedi potpunu
korisniku prihvatljivost.
306
KO FOJ
8.2.2. Program obuke u zatiti
Ksnovna razlika izmeu obuke i razvoja sves o potrebi zate je to se obukom
osposobljavaju korisnici za izvravanje specinih funkcija zate, dok se programom
za razvoj sves o potrebi zate usmerava panja relevantnih uesnika na odreena
pitanja iz oblas zate. Primer obuke je serkovani CISSP
33
kurs za specijaliste zate.
Cilj obuke je da se korisnici osposobe sa venama, koje im omoguavaju da bezbedno
izvravaju akvnos u oblas zate, ukljuujui ta i kako treba ili mogu neto
uradi. Vena moe bi percepcijska, motorika, manuelna, intelektualna ili socioloka.
Priroda poslova u za obino zahteva kombinaciju ovih i ukljuuje kognivne, psiho-
somatske i motorike funkcije, zajedno sa odgovarajuim znanjem. Kbuka moe obuh-
va vie nivoa, od osnovne prakse zate, preko srednjeg do naprednog kursa obuke
ili specijalizovanih vena i moe bi specina za jednu plaormu ili dovoljno generika
da obuhva sve sisteme. Kbuka je efekvnija kada je usmerena na specinu grupu.
Polaznici mogu bi op korisnici, specijalis i profesionalci [35].
Op korisnici se obuavaju za osnovne komponente dobre prakse zate, kao to
su zika zata prostora i opreme, zata lozinki i drugih autenkacionih podataka,
izvetavanje o povredama polike zate, polika zate, uloge i odgovornos i dru-
ga pitanja koja se direktno odnose na poboljavanje osnovne prakse zate korisnika.
Specijalizovana obuka je detaljnija od osnovne, a polaznici se biraju prema vrs posla,
funkcijama ili specinim tehnologijama i proizvodima koje koriste. Izvrni menaderi
ee zahtevaju specijalizovanu, nego naprednu obuku, jer po pravilu ne moraju razu-
me tehnike detalje o za, ali moraju zna da organizuju, usmeravaju i evaluiraju
mere zate i da shvate potrebu prihvatanja preostalog rizika. Profesionalna obuka je
specian vid obuke namenjen da svi korisnici, od poetnika do profesionalaca u za,
poseduju zahtevani nivo znanja i sposobnos, neophodnih za njihove profesionalne od-
govornos u za. Za ovu obuku izdaju se odgovarajui serka, a normalno ukljuuje
teoretski i prakni rad, kroz kombinaciju mulmedijalne prezentacije, predavanja i
studija sluajeva.
8.2.3. Obrazovanje u zatiti
Obrazovanje je proces, koji u jedinstvenu bazu znanja integrie sve vene, sposob-
nos i znanja iz razliih specijalnos u oblas zate; obuhvata koncepte i principe
inter i muldisciplinarnih nauka i osposobljava profesionalce zate za proakvne
akcije [35]. Primer su specijaliske ili magistarske studije sa odgovarajuim diplomama.
Program i tehnike obrazovanja u za, premauju obim i granice ish za razvoj sves i
obuku u za (Tabela 8.1).
33 Engl.: CISSP - Cered Informaon System Security Professional serkovani profesionalci sistema
zate informacija.
307
UJJ O FOJ
Tabela 8.1. Komparacija parametara sves, obuke i obrazovanja u za
PARAMETRI SVEST O POTREBI OBUKA OBRAZOVANJE
Atribut ta Kako Zato
Nivo Informacija Poznavanje Detaljno znanje
Cilj Prihvatanje potrebe Scanje vena Razumevanje procesa
Metod
Mulmedijska
prezentacija:
video, tampa, posteri
Prakna nastava:
predavanja, vebe,
studije sluajeva
Teoretska nastava:
seminarski, diskusije,
samostalni rad
Verikacija
znanja
Tano/pogreno;
Viestruki izbor (uenje
idenkacijom)
Reavanje
problema
(usvojeno znanje)
Izrada eseja (rada)
(interpretacija znanja)
Vreme ucaja Kratkorono Srednjerono Dugorono
8.2.4. Kontinuitet procesa obrazovanja u zatiti
Uenje i obrazovanje u za je konnualan proces, koji poinje sa razvojem sves
o potrebi, izgrauje se kroz obuku i komplera u fazi obrazovanja. Model konnuiteta
procesa uenja i obrazovanja u za prikazan je na Sl. 8.1 [75, 35].
Sl. 8.1. Model konnuiteta procesa uenja i osposobljavanja u za
308
KO FOJ
Model se zasniva na premisi da je uenje konnualan proces, koji poinje sa raz-
vojem sves o potrebi, izgrauje se kroz obuku, a potpuno razvija kroz obrazovanje.
Kbezbeuje kontekst za razumevanje i korienje uputstva sa metodologijom za razvoj
programa obuke i pomae da se idenkuju znanja, sposobnos i vene, koje zaposleni
treba da poseduje na radnom mestu. Idui prema vrhu modela obuka postaje obuhvat-
nija i detaljnija. Svi zaposleni treba da steknu svest o potrebi zate. Kbuka ili osnovna
bezbednosna pismenost i uloge i odgovornos u za, diferenciraju se na poetni (B),
srednji (M) i napredni (A) nivo zahteva za znanjima i venama. Blok modela obrazovan-
je i iskustvo primenjuje se primarno na profesionalce za bezbednost i zatu IKTS.
8.2.5. Znanja i vetine lanova tima za upravljanje zatitom
Za opmalan rad i upravljanje sistemom zate, standardi najbolje prakse zate
preporuuju skup tehnikih i komunikacionih znanja i vena, koje lanovi ma za zatu
informacija treba da poseduju (Tabela 8.2).
Tabela 8.2. Znanja i vene lanova ma za zatu informacija
Tehnika znanja i vene Komunikacione i line osobine
Ispiva sistema zate: ala za tesranje
sistema zate (skeneri ranjivos RS i RM),
ala za tesranje sistema na proboj, pro-
gramiranje, baze podataka, opte o IKTS,
GAISP principi
Koncentracija panje i sklonost ka detaljima:
sposobnost usredsreene opservacije i
zapaanja detalja u svakoj akvnos zate
Rukovaoc incidenta: GAISP, RM, NKSSS
zata sistemskih i aplikavnih programa,
razumevanje ispivaa i administratora
zate, ala zate RS i RM, digitalna foren-
zika RS i RM, programiranje, pisanje
Posveenost doszanju cilja: sposobnost
za kompleranje svakog zadatka u datom
vremenu
Administrator ureaja zate: upravljanje
barijarom, osnove Unix i Windows KS,
koncept RM, autenkacioni ureaji, opera-
vne procedure
Prihvatanje greke: sposobnost mske
otpornos na neuspene akcije i akvnos
u za
Administrator korisnikog naloga i pristupa:
detaljno poznavanje Win i Unix/Linux KS,
bazino razumevanje korisnikih repozi-
torija (LDAP, Acve Directory), odreena
znanja osnovnih GAISP i izrade operavnih
procedura
Tolerantnost: sposobnost prihvatanja
mesta i uloge sistema zate informacija u
poslovnom sistemu, konstrukvnog i mi-
roljubivog reagovanja, bez arogancije prema
bilo kome
Operator nadzora sistema zate: os-
novno znanje uobiajenih KS i protokola
RM, pisanje, operavne procedure, op
koncept analize dogaaja (log datoteka) i
odgovora na alarme
Komunikavnost: sposobnost potpune ko-
munikacije (sa razumevanjem) sa tehnikim i
netehnikim osobljem
309
UJJ O FOJ
Tehnika znanja i vene Komunikacione i line osobine
Kreator polike zate: osnovno razume-
vanje poslovnih procesa, analiza procesa,
sinteza i skiciranje nacrta, pregovaranje,
iskustvo sa tehnikom konguracijom IKTS
i procesom revizije, ISK/IEC 27001 i CKBIT
standardi
Samoorganizovanost: sposobnost organizo-
vanja akvnos u raspoloivom vremenu,
resursima i prioritema, bez potrebe za
posebnim nadzorom
Koordinator zate: poslovna i strategija
zate, tehnika i upravljaka iskustva,
analiza poslovanja, osnovni principi IKTS
i sistema zate za podrku poslovnih
procesa
Neprekidno uenje: sposobnost neprekid-
nog praenja i usavravanja znanja iz oblas
zate (alata, promena itd.) na specijalizo-
vanim kursevima
Pripravnik zate: student diplomac iz
oblas zate, sa poznavanjem komandne
linije i GUI
Otpornost na stres: sposobnost rada pod
priskom
Kontrola stras: sposobnost balansiranja
snanih emocija prema za i elje da se
zavri zadatak
Raznovrsnost i inovacije: sposobnost pose-
dovanja razliih znanja i vena i inovacija
reenja zate
Svaka ljudska akcija ima neko specino usmerenje i nalazi se u okviru specinog
ponaanja. Movacija je interni pokreta, koji odreuje to usmerenje i akvira takvo
ponaanje. U mu za upravljanje zatom informacija, rukovodilac ma treba da kreira
okruenje, koje movie svakog lana ma.
8.3. UPRAVLJANJE PROGRAMOM OBUKE U ZATITI
Zavisno od veliine i geografske disperzije IKTS, uloga i odgovornos i namenjenih
resursa, za upravljanje programom za obuku u za koriste se tri modela [75]: centra-
lizovani, delimino decentralizovani i decentralizovani.
Centralizovano upravljanje primenjuje se u manjim organizacijama koje imaju sline
ciljeve poslovanja u svim organizacionim jedinicama ili imaju na nivou upravljanja, neo-
phodne resurse, eksperzu i znanja o svim poslovima organizacionih jedinica. Kdgovo-
rnost i budet za program obuke organizacije su kod centralnog organa, koji koordinira
razvoj, planiranje, realizaciju i evaluaciju programa obuke (Sl. 8.2a) [75].
310
KO FOJ
a)
b)
Sl. 8.2. Centralizovano - (a) i delimino decentralizovano - (b) upravljanje programom
obuke
Delimino decentralizovano upravljanje programom obuke u za, pogodno je za
srednje i relavno vee organizacije koje imaju decentralizovanu strukturu, upravljanje
i odgovornos; imaju geografski distribuirane organizacione jedinice sa razliim misi-
jama i ciljevima poslovanja. Poliku i strategiju razvoja programa denie centralno telo
za zatu, a implementaciju izvrni menaderi, koji raspolau sa resursima i odgovorni
su za realizaciju (Sl. 8.2b).
311
UJJ O FOJ
Decentralizovano upravljanje primenjuju relavno velike organizacije, koje imaju de-
centralizovanu strukturu (Sl. 8.3) sa centralizovanim opm i distribuiranim specinim
odgovornosma.
Sl. 8.3. Decentralizovano upravljanje programom obuke u za
Kve organizacije imaju geografski distribuirane ili poluautonomne organizacione
jedinice sa razliim poslovnim ciljevima. Centralni organ zate distribuira poliku,
zahteve i oekivanja od programa obuke, a odgovornost za realizaciju prenosi na orga-
nizacione jedinice.
8.4. PROCES RAZVOJA PROGRAMA OBUKE U ZATITI
Projektni pristup razvoju programa za obuku u za, ukljuujui razvoj sves o
potrebi zate, obuhvata procese, procedure i akvnos kroz eri kljune faze ivotnog
ciklusa programa [75]: priprema, planiranje, implementacija i evaluacija.
Faza 1: U fazi pripreme idenkuje se odgovarajui model za procenu potreba i pri-
prema razvoj programa obuke, konzistentno izabranom modelu. Idenkacija obima
i ciljeva programa prvi je korak. Treba specino naglasi, da li se obuka odnosi samo
na zaposlene ili i na druge korisnike IKTS. Izbor predavaa, koji poznaju principe i
tehnologije zate i poseduju komunikavne sposobnos za efekvan prenos znanja
i iskustava, moe ukljui zaposlene specijaliste zate, specijaliste izvan organizacije
ili specijalizovane organizacije. Takoe se zahteva idenkacija ciljne grupe za obuku,
312
KO FOJ
jer svi zaposleni nemaju jednake potrebe za obukom. Program obuke treba prila-
godi potrebama odreene grupe korisnika. Segmentacija grupa za obuku, moe
se izvri prema nivou znanja i sves o potrebi zate, radnim zadacima ili funkci-
jama, specinim kategorijama poslova, nivou informakog znanja ili pu koriene
tehnologije zate. Movacija i razvoj sves o potrebi zate, obezbeuju podrku
menadmenta i zaposlenih. Movacija menadmenta je neophodna, ali nije dovolj-
na za uspeh programa obuke. Zaposleni moraju bi ubeeni u korisnost zate, ra-
zume vrednos objekata sa kojima rade i kako se zata odnosi na njihove poslove,
to se bez odgovarajue obuke ne moe posi.
Faza 2: Razvoj plana obuke ubrzava pripremu i realizaciju programa obuke.
Metodologija opisana u literaturi [43], obezbeuje izradu plana i dobru pripremu
materijala za brojne pove obuke u oblas zate i opisuje naine korienja
metodologije. Za denisanje programa obuke, izbor i pripremu materijala treba ko-
ris pomo specijalista za zatu.
Faza 3: U fazi implementacije znaajne akvnos su izbor tema, pronalaenje izvora
i materijala za obuku i realizacija programa. Administracija programa obuke o za
obuhvata nekoliko vanih komponen. Transparentnost je kljuna za uspenu reali-
zaciju, ne treba obeava ono to se ne moe ispuni. Metodi obuke treba da su
konzistentni sa materijom koja se izlae i prilagoeni nivou grupe. Teme se biraju
prema potrebama korisnika. Materijal treba da bude to kvalitetniji, a vreme i nain
prezentacije paljivo izabrani. U realizaciji programa prate se i auriraju sve promene
tehnologija IKTS i zate, zakonske regulave ili polika zate. Program obuke mora
bi aktuelan i da sadri tekue informacije.
Faza 4: Rezulta evaluacije efekvnos programa obuke koriste se za upravljanje
promenama auriranje, korekciju i poboljanje programa za novi ciklus obuke.
esto je teko meri efekvnost programa obuke, ali se evaluacija mora izvri, da se
utvrdi u kojoj meri polaznici obuke usvajaju znanja i vene. Neki metodi evaluacije
koji se mogu koris i kombinovano su klasina provera znanja, stepen sprovoenja
procedura zate, korienje zapaanja polaznika kursa o efekma obuke i monitori-
sanje broja i pova kompjuterskih incidenata pre i posle obuke.
Proces razvoja sves o potrebi i obuke u za treba integrisa u optu poslovnu
strategiju. Zreo program treba da denie metriku za evaluaciju (kvalitavnu, kvan-
tavnu, binarnu) [75]. Kva komponenta zate odnosi se na sve ostale, a posebno na
poliku zate, upravljanje programom zate i personalnu zatu.
Na Sl. 8.4. prikazani su metodi evaluacije i tehnike za auriranje programa obuke.
313
UJJ O FOJ
Sl. 8.4. Evaluacija i tehnike povratne sprege za kontrolu programa
8.5. REZIME
Program za razvoj sves o potrebi i obuku u za, realizuje se kroz projektova-
nje, razvoj materijala, implementaciju i analiza i evaluacija programa. Kljuni indikatori
sprovoenja obuke (KPI) mogu bi procenat polaznika obuke, starosna dob polaznika i
biograje (CV), broj vrsta obuke, broj incidenata po broju zaposlenih i sl. Krini faktori
uspeha programa (CSF), olakavaju evaluaciju, a mogu bi celovitost programa, nansi-
jska podrka i resursi, karijera i dr.
Razvoj sves o potrebi zate, nije obuka nego usmeravanje panje na zatu, pre-
poznavanje bezbednosnih problema u IKTS i adekvatno reagovanje na njih. Obuka u
za osposobljava zaposlene sa venama, potrebnim za bezbedniji rad. Moe obuh-
va vie nivoa, od osnovne prakse zate do naprednog kursa obuke i specijalizovanih
vena. Obrazovanje u za je proces koji integrie sva znanja i vene iz razliih
specijalnos u jedinstvenu bazu znanja o koncepma i muldisciplinarnim principima
zate i osposobljava specijaliste i profesionalce zate za proakvnu zatu. Uenje i
scanje znanja o za je konnualan proces, koji poinje sa razvojem sves o potrebi,
izgrauje se kroz obuku i komplera u procesu obrazovanja.
Za upravljanje programom obuke koriste se tri modela: centralizovano, delimino de-
centralizovano i decentralizovano upravljanje. Proces razvoja programa obuke o za,
ukljuujui i razvoj sves o potrebi zate, izvrava se kroz eri kljune faze: pripremu,
planiranje, implementaciju i evaluaciju programa.
314
KO FOJ
Metodologija, za pripremu i razvoj materijala za obuku, obezbeuje pripremu ma-
terijala za brojne pove obuke u oblas zate i opisuje nain korienja metodologije.
Brojni resursi detaljno se opisuju u Uputstvu za obuku o za. Metodologija je eksibil-
na u pogledu denisanja broja uloga u konkretnoj organizacija, a omoguava organizac-
iju kurseva obuke za poetni, srednji i napredni nivo. Program obuke mora da pra
promene tehnologija IKTS i zate, okruenja i normavnog okvira i treba ga integri-
sa u optu poslovnu strategiju. Zreo proces programa obuke o za treba da denie
metriku za evaluaciju.
Konnuitet uenja: konnualan proces, koji
poinje sa razvojem sves o potrebi, izgrauje
se kroz obuku i komplera u fazi obrazovanja.
Obrazovanje u za: proces koji integrie
sve vene i znanja u oblas zate razliih
specijalnos u jedinstvenu bazu znanja; obuh-
vata koncepte i principe muldisciplinarnih
nauka i osposobljava profesionalce zate za
proakvnu zatu.
Obuka u za: osposobljava korisnike sa
venama za bezbedno izvravanje akvnos
u oblas zate, ukljuujui ta i kako tre-
ba ili mogu neto da urade.
Program obuke: struktuiran pristup razvoju i
poszanju kompetentnos odreene grupe
korisnika za poszanje zahteva postavljenih u
paketu obuke.
Razvoj sves o potrebi zate: usmeravanje
panje menadera i zaposlenih na zatu, pre-
poznavanje bezbednosnih problema i reagov-
anje.
Sposobnost: predispozicije za odreene ak-
vnos; potencijalna vena.
Standard obuke: precizna izjava o zahtevanom
nivou scanja znanja, vena i sposobnos u
procesu obuke, koje se smatraju kompetent-
nim za izvravanje odreenog posla.
Vena: moe bi percepcijska, motorika,
manuelna, intelektualna ili socioloka; obino
se zahteva kombinaciju ovih i ukljuuje kogni-
vne, psihosomatske i motorike funkcije, za-
jedno sa odgovarajuim znanjem.
315
UJJ O FOJ
1. Cilj obrazovanja i obuke u za je:
a. da se smanje sluajne greke, prevare
i neovlaene akvnos nezadovoljnih
zaposlenih
b. da se smanje napadi sa Interneta i soci-
jalni inenjering
c. . da se smanje nansijski i drugi gubici u
organizaciji
d. da se smanji odliv strunih kadrova i
drugih zaposlenih
2. Glavne faze ivotnog ciklusa programa za
razvoj sves i obuku u za IKTS su:
a. Idenkacija obima i ciljeva
b. priprema za razvoj programa
c. projektovanje programa
d. razvoj programa
e. implementacija programa
f. evaluacija programa
3. Krini faktori za uspeh programa (CS&) za
razvoj sves i obuku u za su:
a. podrka menadmenta
b. celovitost programa
c. idenkovane i dokumentovane ranji-
vos sistema
d. nansijska podrka i resursi
e. zahtev standarda zate
f. znaaj za karijeru zaposlenih
4. Sledea faza programa obrazovanja i obuke
u za je uglavnom markenka:
a. obuka zaposlenih za rad sa novim siste-
mom/komponentom zate
b. obrazovanje u za za scanje profe-
sionalnih znanja
c. razvoj sves o potrebi zate
5. Razvoj sves o potrebi zate je obuka:
a. tano
b. netano
c. moe bi povremeno
6. Najvea verovatnoa da su uesnici movi-
sani za program zate pose se u fazi:
a. obuke
b. razvoja sves o potrebi zate
c. obrazovanja
7. Kbuka u za je najekasnija kada je:
a. transparentna
b. ima dobar metod izvoenja obuke
c. prilagoena svim grupama korisnika
d. ima jednostavnu, usmenu prezentaciju
8. Za upravljanje bezbednosnim funkcijama
programa obuke koriste se sledei modeli:
a. centralizovani
b. administravni
c. delimino decentralizovani
d. decentralizovani
distribuirani
9. Metodi za evaluaciju programa obuke su:
a. klasina provera steenih znanja
b. serkacija i akreditacija plana evalu-
acije
c. praenje sprovoenja preporuene pro-
cedure zate
d. korienje zapaanja polaznika kursa o
efekma obuke
e. primena metoda samoevaluacije
f. monitorisanje broja i pova kompjuter-
skih incidenata pre i posle obuke
316
KO FOJ
9.
SERTIFIKACIJA I AKREDITACIJA
SISTEMA ZATITE
9.1. UVOD
Ser ka ci ja je proces proce ne efekvnos kon tro la zate IKTS, koji obezbeuje
ovlaenom menaderu neophodne informacije za do noenje od lu ke o putanju si-
stema u rad. Slo e nost sistema je glav ni problem u procesu serkacije, jer je za kom-
plek sni ji si stem te e detaljno evaluira sve nje go ve kontrole zate.
Akre di ta ci ja je formalna auto ri za ci ja IKTS za rad posle integracije (pod)sistema
zate, koju daje nadleni menader organizacije, na bazi rezultata procesa serkacije.
Plan zate je osnov ni do ku ment, ko ji se zah te va na uvid u pro ce su akre di ta ci je, a mogu
se zahteva polika zate, rezulta pro ce ne ri zi ka i eva lu a ci je procesa zate. Kva od-
lu ka se za sni va na verikaciji im ple men ta ci je planira nog sku pa upra vlja kih (U), opera-
vnih (K) i teh ni kih (T) kon tro la zate. Akre di ta ci jom menadment ponovo potvruje
da pri hva ta preostali ri zik. &or ma li za ci ja procesa akre di ta ci je sma nju je mo gu nost da
IKTS bude puten u rad, bez od go va ra ju e kontrole menadmenta. Posle zna aj nih pro-
me na u IKTS, okruenju ili tehnologijama zate, tre ba izvri rea kre di ta ci ju, a i e e,
ako je pove an ri zik.
9.2. ORGANIZACIJA PROCESA SERTIFIKACIJE I AKREDITACIJE
9.2.1. Uloge i odgovornosti
Da bi na najbolji nain upravljala rizikom u odnosu na ciljeve i misiju, organizacija
treba da denie uloge i odgovornos u procesu serkacije i akreditacije S/A. Kljune
uloge u pinom programu S/A su: (1) imenovani entet za akreditaciju ili akreditator
317
UJJ O FOJ
DAA (Designated Accreditaon Authority), (2) serkator lice koje vri serkaciju i
izdaje serkat, (3) rukovodilac programa ili vlasnik sistema i (4) specijalista za zatu.
Da bi se poveao integritet i objekvnost akreditacione odluke, mogu se uves i dodatne
uloge [62].
Entet za akreditaciju (DAA), obino je stariji menader sa ovlaenjem da formalno
odobri rad IKTS na prihvatljivom nivou rizika. DAA preuzima odgovornost za preostali
rizik i rad sistema u odreenom okruenju; ima ovlaenja da nadgleda budet, odobri
dokumenta o bezbednosnim zahtevima, sporazume i odstupanja od polike zate i da
zabrani ili zaustavi rad sistema ako rizik postane neprihvatljiv. Na osnovu rezultata ser-
kacije i procene rizika DAA moe formalno done odluku da: (1) izda punu akreditaciju,
(2) izda privremenu akreditaciju ili (3) odbije akreditaciju sistema, ako je preostali rizik
neprihvatljiv. Kdluka o akreditaciji dokumentuje se u akreditacionom paketu, koji sadri
izjavu o akreditaciji, serkacioni paket i obrazloenje odluke. Ako je vie DAA ukljueno,
moraju posi saglasnost i to dokumentova u akreditacionom paketu.
Serkator/m je odgovoran za procenu usaglaenos sa bezbednosnim zahtevi-
ma za idenkaciju, procenu i dokumentovanje rizika, koordinaciju serkacionih ak-
vnos i konsolidaciju konanog S/A paketa. Kbezbeuje eksperzu za voenje neza-
visne tehnike i ne-tehnike evaluacije IKTS, na osnovu bezbednosnih zahteva i kontrola
sistema zate, dokumentovanih u planu zate. Procenjuje mogue pretnje, odreuje
korektnost implementacije kontrola zate i nivoa preostalog rizika. Da bi se sauvala
objekvnost serkacinog procesa, serkator treba da bude nezavisan od vlasnika, ko-
risnika i administratora zate.
Rukovodilac programa i vlasnik sistema predstavljaju interese korisnika IKTS to-
kom ivotnog ciklusa sistema. Rukovodilac programa je odgovoran za sistem za vreme
poetnog razvoja i akvizicije, a brine se o trokovima, planu i izvravanju plana akvizicije
sistema. Poto je sistem isporuen i instaliran, podrazumeva se da je vlasnik sistema
odgovoran za sistem u toku rada, odravanja i prestanka rada sistema. Rukovodilac pro-
grama i vlasnik sistema obezbeuju: razvoj i rad sistema prema bezbednosnim zahtevima
plana zate; adekvatnu obuku u za; koordinaciju rada; potrebno osoblje i informacije
za serkatora/m; trokove serkacije i uvid u serkacioni izvetaj pre dostavljanja
DAA za akreditaciju.
Specijalista za zatu sistema u radu odgovoran je za svakodnevnu bezbednost kom-
ponen IKTS, upravljanje incidentom, svest o potrebi zate, obuku i obrazovanje, pomo
u razvoju polike zate, usaglaenost prakse i polike zate, idenkovanje sistema za
re-serkaciju ili re-akreditaciju i za struno rukovoenje programom zate, za sistem
u razvoju [35].
Ostale uloge i odgovornos u procesu S/A, kao to su predstavnik korisnika, ruko-
vodilac programa zate, operavni i tehniki menaderi sistema, mogu bi ukljueni u
S/A proces. Predstavnik korisnika, koji zastupa njihove operavne interese, po potrebi
pomae u S/A procesu i uestvuje u nadzoru ispunjavanja bezbednosnih zahteva, postav-
ljenih u planu zate. Menader programa zate, odgovoran je za primenu standardnog
318
KO FOJ
S/A procesa, obezbeuje interna uputstva i poliku za S/A proces i moe da pregleda
serkacioni paket, pre dostavljanja za akreditaciju. Administrator zate RS nadgleda
operavni rad i administrira zatu RS. Administrator zate RM nadgleda promene i
modikacije i spreava da se ugrozi postojei sistem zate RM. Neke uloge u S/A pro-
cesu mogu bi delegirane, kao diskreciono pravo menadera. Ulogu i odgovornost DAA
ne treba delegira izvoaima radova [35].
9.3. UPRAVLJANJE PROCESOM SERTIFIKACIJE I AKREDITACIJE
Kljune faze procesa S/A sa zadacima prikazane su na Sl. 9.1.
Faza predserkacije je pripremna i sadri est koraka (zadataka): idenkacija
sistema, inicijalizacija i odreivanje okvira, validacija plana zate, validacija inicijalne
procene rizika, validacija i idenkacija kontrola zate i konani nalaz. U ovoj fazi ko-
riste se brojne informacije iz tekueg plana zate, procene rizika ili druge relevantne
dokumentacije zate. Ako plan zate i procena rizika nisu komplerani, to treba ura-
di pre prelaska na proces S/A. Kva faza sadri opis svih zadataka i odgovarajuih podza-
dataka predserkacije [62].
Sl. 9.1. &aze i akvnos procesa serkacije i akreditacije [1]
319
UJJ O FOJ
U fazi serkacije kroz nezavisnu procenu, sa izabranom tehnikom i procedurom ve-
rikacije, verikuju se korektnost implementacije i efekvnost kontrola zate u praksi
i usaglaenost sa bezbednosnim zahtevima. Plan faze serkacije (Sl. 9.2) obuhvata 4
koraka: validaciju, verikaciju, tesranje i evaluaciju sistema zate ST&E i procenu
rizika. Razlike u procedurama verikacije, izmeu ST&E razvojnih i operavnih sistema,
mogu bi u koliini raspoloivih informacija [39]. Za ST&E razvojnog sistema postoje
brojne pretpostavke za okruenje u kojem e sistem radi, a koje ne mogu bi potpuno
verikovane sve dok se sistem ne pus u rad.
Sl. 9.2. Plan serkacije sistema zate [1]
Sam proces serkacije moe se izvri u pet koraka [62]:
1. revizija procene rizika (liste prioritetnih kontrola zate);
2. revizija polike zate (usaglaenost sa rezultama procene rizika);
3. revizija projektne dokumentacije (ziki i logiki dijagrami, liste itd.);
4. revizija planova i procedura (administracije, tesranja, revizije, plana VD) i
5. revizija tekue konguracije (krinih komponen, korienih alata).
Rezulta serkacije dokumentuju se u razvojnim ili operavnim ST&E izvetajima u
serkacionom paketu, sa planom zate i konanim izvetajem o proceni rizika u pri-
logu. Nakon kompleranja faze serkacije, izdaje se serkacioni paket sa izvetajem.
Kompletna lista zadataka i podzadataka u svim fazama procesa S/A, kao i skup radnih
tabela za sistem merenja u fazama validacije i evaluacije u procesu serkacije, da su
u literaturi [62].
320
KO FOJ
Postoji vie tehnika za verikaciju efekvnos kontrola zate, koje se mogu pri-
meni u procesu S/A: intervjuisanje zaposlenih u za, revizija polike, procedura i
uputstava zate; nadzor operavnog rada i prakse zate; analiza tesranja sistem-
skog hardvera, sovera, rmware i operacija i demonstracija ponaanja sistema zate,
obuka i vebe. Denisana su tri bezbednosna nivoa serkacije SLC (Security Level
Cercaon): SLC1 poetni, SLC2 srednji i SLC3 najvii nivo bezbednosne ser-
kacija IKTS [62].
SCL1 odgovara za sve IKTS koji zahtevaju niske (N) nivoe zate CIA informacija, a po
diskrecionom pravu i za sisteme sa S do V nivoa zate CIA, sa N i S rizikom. Tipino se
vodi na bazi upitnika ili kontrolnih lis. Verikuju se korektnost implementacije i efek-
vnost kontrola zate za N nivo rizika i ne zahteva se visok nivo akvnos. Moe se
izvri sa minimalnim resursima, intervjuisanjem, revizijom dokumentacije i posma-
tranjem.
SLC2 odgovara za sisteme sa S nivoom rizika, koji zahtevaju srednji nivo zate CIA,
a po diskrecionom pravu i za sisteme sa V nivoima zate CIA sa N do S nivoa rizikom.
Koris sve procene iz SLC1, uz rigoroznije tehnike i procedure. Verikuje korektnost im-
plementacije i efekvnost kontrola zate IKTS za S nivo rizika i zahteva prosean nivo
akvnos i obim resursa. Za procenu koris standardne, komercijalno raspoloive alate
i verikacione tehnike (intervjuisanje zaposlenih, reviziju dokumentacije i posmatranje),
kao i ogranien nivo tesranja sistema zate (npr. funkcionalno tesranje i tesranje
na proboj).
SCL3 odgovara za sisteme koji zahtevaju V nivo zate CIA, a koris procene iz SLC1 i
SLC2 i najrigoroznije tehnike verikacije, koje su na raspolaganju. Verikuje korektnost
implementacije i efekvnost kontrola zate za V nivo rizika i zahteva visok nivo ak-
vnos, znaajne resurse i najsloenije alate za procenu i verikaciju (tj. analizu sistema,
proireno funkcionalno tesranje, regresionu analizu i tesranje, demonstracije, vebe,
tesranje na proboj i dr.).
Svaki vii nivo serkacije dodatno poveava intenzitet i rigoroznost primene tehnika
verikacije sa prethodnog nivoa. Nivoe SLC treba detaljno opisa u Uputstvu za akredit-
aciju i serkaciju, koje je sastavni deo dokumentacije zate. U Tabeli 9.1. sumirane su
razliite tehnike verikacije u odnosu na SCL na primeru verikacije kontrola zate iz
familije Idenkacije i akreditacije [62].
321
UJJ O FOJ
Tabela 9.1. Tehnike verikacije za nivoe bezbednosne serkacije
SCL TEHNIKE VERIFIKACIJE
SCL 3
Visok intenzitet, baziran na tesranju, nezavisna procena
Analiza projekta sistema, funkcionalno tesranje sa analizom pokrivenos
Regresivna analiza i regresivno tesranje i tesranje na proboj
Demonstracije/vebe za proveru korektnos i efekvnos kontrola zate
SCL1 i SCL2 tehnike verikacije (ukoliko su odgovarajue)
SCL 2
Srednji intenzitet, baziran na demonstraciji, nezavisna procena
&unkcionalno tesranje, regresivna analiza i regresivno tesranje
Tesranje na proboj (opciono)
Demonstracije/vebe za proveru korektnos i efekvnos kontrola zate
SCL1 tehnike verikacije (ukoliko su odgovarajue)
SCL 1
Nizak intenzitet, baziran na kontroli, nezavisni pregled zate
Intervju personala
Pregled polika zate, procedura, dokumenata vezanih za sistem
Nadzor operavnog rada sistema i kontrola zate
U procesu serkacije vano je razume odnos izmeu nivoa serkacije i kontro-
la zate. Ksnovni koncept je, da se sa porastom nivoa rizika uvode dodatne kontrole
zate, proces serkacije postaje stroiji i poveava se intenzitet tehnika verikacije.
Za V nivoe rizika dodaju se novi resursi za serkaciju i mnogo robusnije kontrole.
9.3.1. Sertifikaciona i akreditaciona dokumentacija
Cilj procesa serkacije je da obezbedi potrebne informacije, na osnovu kojih DAA
donosi obrazloenu akreditacionu odluku za rad nekog IKTS u datom okruenju, zas-
novanu na proceni rizika. Svaki zadatak i akvnost u procesu serkacije, paljivo se
planira. Seracioni paket obino sadri pregledan i po potrebi dopunjen plan zate,
izvetaj ST&E razvojnog i/ili operavnog sistema, zavrni izvetaj o proceni rizika i izjavu
serkatora.
Plan zate ima centralnu ulogu u oblas upravljanja rizikom, S/A procesima i u do-
kumentovanju zate IKTS. Krganizacija koja ima kompleran plan zate pre poetka
S/A procesa, moe ga koris u pre-serkacionim akvnosma, a koja nema, moe
uze potrebne informacije iz plana za pre-serkacione akvnos za odreeni S/A pro-
ces. Ukoliko je plan zate izraen pre procene rizika, treba ga dopuni rezultama
procene rizika. DAA ima diskreciono pravo da u plan zate ukljui dodatne informacije
[62].
Izvetaj ST&E je osnovna komponenta S/A procesa. ST&E odreuje usklaenost IKTS
sa bezbednosnim zahtevima iz plana zate i verikuje da li su, u planu idenkovane
kontrole zate, korektno i ekasno primenjene.
322
KO FOJ
ST&E se moe primeni za sisteme u procesu razvoja i u procesu rada IKTS. Pro-
ces ST&E sistema u razvoju primenjuje se za nove sisteme u fazi razvoja i akvizicije ili
reinenjeringa sistema. Izvetaji pino sadre rezultate ispivanja i procene hardvera,
sovera i rmware, analize arhitekture i funkcionalnog tesranja, a koriste se za veri-
kaciju korektnos implementacije, ekasnos i efekvnos tehnikih kontrola zate,
u skladu sa primenjenim standardima. Vie se oslanja na detaljnu projektnu dokumen-
taciju sistema, a primenjuje se za pske akreditacije, kao meukorak pre izvravanja
akreditacije na radnoj lokaciji. Proces ST&E sistema u radu primenjuje se za nove ili
modikovane sisteme, po isporuci i zavretku instalacije u fazi implementacije ili na
postojeim sistemima u fazi rada/odravanja. Izvetaj pino sadri rezultate tes-
ranja i evaluacije lokalnog IKTS, koji se odnose na verikaciju korektnos implementa-
cije, efekvnos U, K i T kontrola zate i usklaenos sa bezbednosnim zahtevima.
Moe da ukljui i funkcionalno tesranje, tesranje na promene i analizu ranjivos. Za
reinenjering sistema u postupku S/A koriste se izvetaji ST&E sistema u razvoju i u radu.
Izvetaj o proceni rizika dokumentuje rezultate procene rizika, koji su osnova za pro-
cenu efekvnos kontrola zate i donoenje odluke o prihvatljivos preostalog rizika.
Za svaki preostali rizik, obrazlau se razlozi za prihvatanje ili odbijanje rizika, kao i za im-
plementaciju novih kontrola zate za smanjenje rizika. Serkator procenjuje izvetaj
procene rizika i odreuje pouzdanost podataka. Izvetaj serkatora za DAA zasniva se
na informacijama iz izvetaja o proceni rizika i drugim dokumenma. DAA koris izvetaj
o proceni rizika i druga dokumenta serkacionog paketa, da bi doneo akreditacionu
odluku.
Izvetaj serkatora daje pregled statusa bezbednos sistema i dovodi u vezu sve
potrebne informacije za DAA, koji donosi odluku, zasnovanu na informacijama i proceni
rizika. Izvetaj dokumentuje korektnost implementacije i efekvnost kontrola zate,
kontrole koje nisu implemenrane ili primenjivane i predlae korekvne postupke.
9.3.2. Tipovi i proces akreditacije
U odnosu na p IKTS za S/A, uobiajeno se izdvajaju tri pa procesa akreditacije: (1)
akreditacija sistema, (2) pska i (3) lokacijska akreditacija (Sl. 9.3a). Krganizacija bira p
akreditacije, koji najvie odgovara njenim potrebama [62].
323
UJJ O FOJ
a)
b)
Sl. 9.3. Akreditacija sistema (a) i pska akreditacija (b) [1]
Akreditacija sistema je najei oblik akreditacije IKTS za glavnu aplikaciju ili sistem za
optu podrku, na odreenoj lokaciji, sa specinim ogranienjima okruenja. Serka-
cioni proces verikuje sve bitne elemente U, K i T kontrola, a rezultat je akreditacija rada
na prihvatljivom nivou preostalog rizika. Tipska akreditacija (Sl. 9.3b) izdaje se za IKTS za
glavnu aplikaciju ili optu podrku, koji sadre uobiajeni skup hardvera, sovera i rm-
ware, a distribuirani su na vie lokacija u pinom radnom okruenju. DAA mora da
izjavu o preostalom riziku i jasnu deniciju radnog okruenje, idenkova specino
korienje sistema, ogranienja i procedure pod kojim sistem moe da radi. Znaajno
se smanjuje vreme trajanja procene, jer je lokalnoj organizaciji dostavljena poetna do-
kumentacija potrebna za akreditaciju, ukljuujui i posebne procedure za bezbednost
rada. Proces ST&E treba uradi u centru za tesranje i integraciju ili samo na jednoj od
predvienih radnih lokacija. Instalaciju i konguraciju sistema zate treba tesra na
svakoj radnoj lokaciji. Lokalno zaposleni su odgovorni za nadzor usaglaenos radnog
okruenja sa odobrenom konguracijom, koja je opisana u dokumentaciji o akreditaciji.
Lokacijska akreditacija (Sl. 9.4) moe se izda za sisteme za glavnu aplikaciju i/ili za
optu podrku, koji se nalaze na istoj lokaciji, u istom okruenju i sa ism faktorima
rizika, a dele zajedniku strategiju i imaju uporedive ranjivos.
324
KO FOJ
Slika 9.4. Lokacijska akreditacija [1]
U fazi akreditacije dovrava se konana procena rizika za da IKTS, aurira plan
zate, sumiraju rezulta serkacije i donosi odluka o akreditaciji. Konana procena
rizika zasniva se na rezultama ST&E iz faze serkacije. Serkacioni paket sadri sve
informacije, koje DAA koris za odluku o akreditaciji. &aza akreditacije sadri eri ko-
raka: (1) konanu procenu rizika, (2) auriranje plana zate, (3) zakljuci iz faze ser-
kacije i (4) donoenje odluke o akreditaciji.
Na osnovu informacija iz serkacionog paketa, DAA razmatra preostali rizik za
sistem i odluuje da li da autorizuje rad sistema i prihva preostali rizik. Kada donosi
konanu odluku, DAA moe izda: (1) potpunu, (2) deliminu (privremenu, uslovnu) i (3)
odbijenu (ne prihvaenu) akreditaciju [62].
Potpuna akreditacija potvruje da su bezbednosni zahtevi zadovoljavajui, kontrole
zate korektno implemenrane, primenjivane i efekvno rade. Sistem je ovlaen za
rad u okruenju, navedenom u planu zate, sa nekoliko restrikcija u procesiranju (ako
ih ima). DAA izdaje akreditaciono pismo sa dokumentacijom u prilogu, koja potvruje
akreditacionu odluku. Kva informacija je deo nalnog akreditacionog paketa. Akredita-
ciona odluka koju daje DAA opisana je u zavrnom akreditacionom paketu, koji obino
sadri: (1) akreditaciono pismo, (2) plan zate i (3) izvetaje, koji dokumentuju osn-
ovu za akreditacionu odluku. U veini sluajeva akreditacioni paket se izvodi iz ser-
kacionog, a mogu se izostavi i osetljive informacije iz plana zate, ST&E izvetaja i
izvetaja o proceni rizika.
Delimina akreditacija potvruje da nema usaglaenos sa svim bezbednosnim
zahtevima iz plana zate i svim kontrolama zate nisu primenjene ili ne rade efekv-
no. Potreba za sistemom je krina, pa se puta u rad, jer ne postoje druge mogunos.
Da bi se smanjio poveani rizik, ova akreditacija odobrava privremeni rad sistema, u
odreenom periodu i pod odreenim uslovima, do potpune akreditacije sistema, to
se specicira u odluci DAA. Sve se restrikcije paljivo kontroliu, a akreditacioni akcioni
plan je razvijen, tako da omoguava: akviranje kapaciteta za brzi oporavak i uspostav-
ljanje rada IKTS, deliminu akreditaciju samo za krine funkcije sistema, dostupnost
resursa za kompleranje akcionog plana i S/A zadataka, zavretak akcionog plana u
325
UJJ O FOJ
okviru vremena koje specicira DAA, smanjenje rizika do najnieg mogueg nivoa i prih-
vatljivost preostalog rizika.
DAA izdaje odgovarajue akreditaciono pismo prema utvrenim uslovima i restrik-
cijama i po potrebi podnosi dodatnu dokumentaciju. Tipske akreditacije mogu se sma-
tra deliminim, sve dok se ne izvri operavna ST&E, ne zadovolje odgovarajui lokalni
bezbednosni zahtevi i dok se lokalne kontrole zate pravilno ne implemenraju i efek-
vno ne primenjuju. Kada se izda ova akreditacija, DAA na operavnoj lokaciji prihvata
odgovornos za bezbednost sistema i informacija.
Odbijena akreditacija potvruje da sistem ne odgovara bezbednosnim zahtevima
i kontrolama, navedenim u planu zate; preostali rizik je neprihvatljivo visok, a ak-
vnos sistema nisu krine za trenutne potrebe organizacije. Sistem u razvoju nije
ovlaen za dalji razvoj, a sistem u radu se zaustavlja. DAA izdaje akreditaciono pismo o
neprihvatanju rezultata serkacije, ukljuujui dodatnu dokumentaciju, koja potvruje
odluku o odbijanju akreditacije. Primeri uzoraka teksta odluka o potpunoj, deliminoj i
odbijenoj akreditaciji i izvetaja serkatora da su u literaturi [62].
Problem akreditacija velikih i kompleksnih sistema reava se denisanjem granica i
obima S/A, dekomponovanjem sloenog sistema i izvravanjem procesa S/A h kompo-
nen. Akreditacija sloenog sistema moe da sadri jednu ili vie komponen podsiste-
ma, serkovanih na odgovarajuem nivou, na bazi dokumentovanog nivoa kontrola
zate. Serkacioni paket je modikovan tako da ukljuuje po jedan ST&E izvetaj za
svaku komponentu podsistema, zajedno sa nalnim izvetajem o proceni rizika sloenog
sistema.
9.3.3. Faza postakreditacije
U ovoj fazi se monitorie status IKTS, kako bi se utvrdilo da li ima znaajnih izmena
u konguraciji sistema ili u okruenju, koje mogu ima ucaje na CIA informacija. Nad-
zor sistema je neophodan, da bi se odrao prihvatljiv nivo preostalog rizika. Kada su
promene sistema ili okruenja znaajne, u odnosu na zatu sistema, poinju akvnos
za re-akreditaciju. &aza postakreditacije ima tri koraka: (1) auriranje procene rizika, (2)
auriranje opisa sistema i okruenja i (3) re-akreditacija i odlaganje sistema.
&aza post-akreditacije je konnualan proces, kojim se ukazuje na dinamine promene
tehnologije za podrku poslovnih ciljeva i misije organizacije. Uputstvo za izradu proce-
dure za planiranje procesa S/A dato je literaturi [35].
326
KO FOJ
9.4. REZIME
Ser ka ci ja je postupak teh ni ke i ne-teh ni ke eva lu a ci je kon tro la zate IKTS, koji
obezbeuje neophodne informacije za pro ces akre di t a ci je, kroz kva li tav nu verikaciju
U, K i T kontrola zate. Akre di ta ci ja je proces auto ri za ci je sistema za rad na pri hva tlji-
vom nivou ri zi ka, posle glavne modikacije ili razvoja novog IKTS, a obavlja je ovlaeni
entet. Akre di ta ci jom menadment pri hva ta preostali ri zik.
Metodologija razvoja procesa S/A obuhvata denisanje uloga i odgovornos, iden-
kovanje IKTS za S/A, izbor pa akreditacije, upravljanje procesom S/A i izradu S/A
dokumentacije. Ksnovna namena serkacije je denisanje korektnos implementacije
i efekvnos kontrola zate. Denisana su tri bezbednosna nivoa: nizak (SLC1), srednji
(SLC2) i visok (SLC3).
Seracioni paket je konani skup dokumenata, koje priprema serkator/m za
akreditatora, a obino sadri plan zate, ST&E izvetaj za sistem u razvoju ili u radu,
zavrni izvetaj o proceni rizika i izjavu serkatora.
Na osnovu ovih dokumenata, akreditator donosi odluku o potpunoj, deliminoj ili
odbijenoj akreditaciji. Akreditacioni paket potpune akreditacije obino sadri akredita-
ciono pismo, plan zate i serkacione izvetaje, koji su osnova za akreditacionu od-
luku. Delimina akreditacija za osnovnu primenu sistema, privremena je potvrda za rad
sistema u odreenom periodu i pod odreenim uslovima, do potpune akreditacije, to
se specicira u odluci akreditatora. Ako sistem ne odgovara bezbednosnim zahtevima
i kontrolama zate, navedenim u planu zate, preostali rizik je neprihvatljivo visok, a
akvnos sistema nisu krine za trenutne potrebe organizacije, akreditacioni entet
odbija akreditaciju.
Proces S/A sadri faze: predserkacije sadri est zadataka; serkacije veriku-
je korektnost implementacije i efekvnost kontrola zate i obuhvata procenu rizika, re-
viziju polike, projektne dokumentacije, plana i procedura zate; akreditacije sadri
eri zadatka: konanu procenu rizika, auriranje plana zate, zakljuke serkacije i
odluku o akreditaciji i postakreditacije monitorie status datog IKTS i promena, koje
mogu uca na CIA informacija, a sadri auriranje procene rizika i stanja sistema i
okruenja, re-akreditaciju i odlaganje sistema.
Akreditacija velikih i kompleksnih sistema reava se denisanjem granica procesa
S/A, dekomponovanjem sloenog sistema i sa S/A h komponen.
327
UJJ O FOJ
Akreditacija: zvanina odluka menadera da
ovlauje rad nekog zaenog IKTS i da eks-
plicitno prihvata preostali rizik za poslove i
imovinu organizacije.
Akreditacioni paket: skup dokaza za akredi-
tatora (plan zate, rezulta procene rizika i
serkacije i plan akcije), koji se koriste u pro-
cesu donoenja akreditacione odluke.
Akreditator: entet/zvanino lice sa
ovlaenjem da formalno preuzme odgovor-
nost za rad zaenog IKTS, na prihvatljivom
nivou rizika za poslove i imovinu organizacije.
Glavna aplikacija: aplikacija koja zahteva
specijalnu zatu zbog rizika i veliine tete od
gubitka, zloupotrebe, neovlaenog pristupa
ili modikacije informacija i aplikacije.
Granice akreditacije: sve komponente IKTS
koje treba akreditova, iskljuujui povezane,
posebno akreditovane sisteme.
Serkacija: sveobuhvatna procena U, K i T
kontrola u IKTS, koja se izvrava kao podrka
procesa akreditacije i daju eljene rezultate u
odnosu na bezbednosne zahteve.
Sistem za optu podrku (General Support Sys-
tem): skup meusobno povezanih RS pod ism
sistemom upravljanja, koji imaju zajednike
funkcionalnos.
1. Kljune uloge u programu serkacije i
akreditacije su:
a. imenovani entet za akreditaciju ili
akreditator
b. serkator
c. administrator sistema
d. rukovodilac programa ili vlasnik sistema
e. specijalista za zatu
f. administrator mree
2. Ksnovni povi akreditacije IKTS su:
a. akreditacija sistema
b. akreditacija mree
c. pska akreditacija
d. lokacijska akreditacija
e. lokalna akreditacija
3. Procese serkacije je:
a. formalna auto ri za ci ja ili odobrenje za
rad IKTS i (pod)sistema zate.
b. proce na kon tro la zate IKTS, koja
obezbeuje neophodne informacije za
ovlaenog menadera da do ne se od lu-
ku za putanje si stema u rad
c. procena rizika i kontrola sprovoenja
polike zate
4. Proces akreditacije je:
a, formalna auto ri za ci ja ili odobrenje IKTS
za rad posle integracije (pod)sistema
zate
b. proce na kon tro la zate IKTS koja
obezbeuje neophodne informacije za
ovlaenog menadera da do ne se od lu-
ku za putanje si stema u rad
c. procena rizika i kontrola sprovoenja
polike zate
5. Glavne faze procesa serkacije i akredit-
acije:
a. faza pripreme
b. faza predserkacije
c. planiranje serkacije
d. faza serkacije
e. faza akreditacije
f. planiranje akreditacije
g. faza postakreditacije
328
KO FOJ
6. Revizija procene rizika u fazi serkacije
obuhvata:
a. formulisanje kontrole pristupa (AC),
kontrole zate, upravljanje vanrednim
dogaajem i upravljanja incidentom, na
bazi rezultata procene rizika
b. zadatke administracije zate, kon-
trolne zadatke tesranja proakvne
zate i plana vanrednih dogaaja
c. kontrolu usklaenos procena rizika
sa zahtevima, to nije neophodno, jer
je primarni rezultat procene rizika da
obezbedi listu prioritetnih mera zate
d. dokumenta koja se zahtevaju za ser-
kaciju ukljuuju dijagrame mrene
kapije, logiki dijagram i dijagram infra-
strukture sistema, koncept rada, listu
obaveznih i zahteva na bazi procene
rizika i listu krinih konguracija
e. proveru krinih komponen kongu-
racije, kojom se verikuje da li korieni
ala ispunjavaju zahteve i da li su
iskorisvi
7. Revizija dokumentacije polike zate u
faza serkacije obuhvata:
d. dokumenta koja se zahtevaju za
serkaciju dijagrame mrene kapije,
logiki dijagram i dijagram infrastruk-
ture sistema, koncept rada, listu
iskorisvi
8. Revizija tekue konguracije u faza ser-
kacije obuhvata:
c. preporuuje se da procena rizika bude
u skladu sa zahtevima, to nije neo-
phodno. Primarni rezultat procene
rizika je da obezbedi listu prioritetnih
mera zate.
iskorisvi
9. Revizija projektne dokumentacije u faza
serkacije obuhvata:
obezbedi listu prioritetnih mera zate.
racije
10. Revizija planova i procedura u faza ser-
kacije obuhvata:
329
UJJ O FOJ
racije
11. Kljuni koraci faze akreditacije su:
a. implementacija plana akreditacije
b. konana procena rizika
c. tretman rizika
d. auriranje plana zate
e. izrada programa zate
f. izvlaenje zakljuaka iz faze serkacije
g. donoenje odluke o akreditaciji
12. Akreditacija moe bi:
a. potpun, delimina, odbijena
b. otvorena, zatvorena i kodirana
c. javna, tajna i interna
13. Akreditacija sistema je:
a. najei oblik akreditacije IKTS za
glavnu aplikaciju ili za optu podrku na
nekoj lokaciji sa specinim okruenjem
b. za IKTS za glavnu aplikaciju ili optu
podrku, koji sadre uobiajen skup
hardvera, sovera i rmware, a distri-
buirani su na vie lokacija u pinom
okruenju
c. za IKTS za glavnu aplikaciju ili optu
podrku, koji se nalaze na istoj lokaciji,
u istom okruenju i sa ism faktorima
rizika i uporedivim ranjivosma
14. Tipska akreditacija je:
glavnu aplikaciju ili za optu podrku na
nekoj lokaciji sa specinim okruenjem
okruenju
15. Lokacijska akreditacija je:
glavnu aplikaciju ili optu podrku na
lokaciji sa specinim okruenjem
okruenju
16. Akreditacioni paket obino sadri:
a. akreditaciono pismo, plan zate i
izvetaj
b. akreditaciono pismo, serkacioni
paket i izvetaj
c. akreditaciono pismo, verikacioni paket
i izvetaj
17. Glavni zadaci faze postakreditacije su:
a. auriranje procene rizika
b. auriranje plana tretman rizika
c. auriranje opisa sistema i okruenja
d. re-akreditacija i odlaganje sistema
330
KO FOJ
9.7. LITERATURA
[1] American Bar Associaon, Secon of
Science &Technology Law, Privacy &
Computer Crime Commiee, Interna-
onal Strategy for Cyberspace Security,
www.abanet.org/abapubs/books/cyber-
crime/, 2003.
[2] Australian CommunicaonsElectronic
Security Instrucon 33, Security Hand-
book, hp://www.acsi.com, 2002
[3] Bahan, C, The Disaster Recovery Plan,
hp://www.sans.org, 2003.
[4] BITS & Shared Assessments, An In-
tegrated Approach: ISO 27001 and
BITS Shared Assessments Program, A
Perspecve of BSI Management Systems
and the Shared Assessments Program,
BITS, www.bsiamerica.com, www.
bitsinfo.org/sap, 2008.
[5] BSI (&ederalni IS Nemake), IT Baseline
Protecon Manual, hp://www.bsi.
bund. de/gshb, juli 2005.
[6] Canada, A Guide to Business Connu-
ity Planning, Last modied 2/3/2005,
hp://www.ocipep.gc.ca/info_pro/
self_help_ad/general/busi_cont_e.asp,
2005.
[7] Computer Security Incident Response
Team (CSIRT), Frequently Asked Ques-
ons (FAQ), hp://www..cert.org/csirts/
csirt_faq.html, 2006.
[8] CERT Coordinang Center, Security of
the Internet, Firewalls, Carnegie Mel-
lon University, SEI, hp://www.cert.org/
rewalls_notes/index.hatml, 2003.
[9] CRAMM, www.crammusergroup.org.uk,
2008.
[10] Domarev, V.,

, hp://www.security.ukrnet.
net/, 1997.
[11] Drake, D. L., Morse K. L., The Security
Specic Eight Stage Risk Assessment
Methodology, Proceedings of the 17th
Naonal Computer Security Confer-
ence, Balmore, Maryland, 1994.
[12] Ewell, V., C., A methodology to the
madness, The Informaon Security, str
2131, juni 2009.
[13] Ewell, V., C., A methodology to the
madness, The Informaon Security, str
2131, juni 2009.
[14] &ord, W., Baum M.S., Secure Electronic
Commerce, Prence Hall PTR, 2001.
[15] &reeman, W., Business Resumpon
Planning: A Progressive Approach, Ver-
sion 1.2f, SANS Instute, www.sans.org,
2002.
[16] Humphrey A., Beyond BuyIn: The
Case for Execuve Level Involvement in
Developing a Business Connuity Plan,
GIAC Security Essenals Cercaon
(GSEC), hp://www.gsec.org, 2005.
[17] SANS Instute, Informaon Security
Policy & Best Pracces, hp://www.
sans. org/policies, 2009.
[18] ISACA, Standards for Informaon Sys-
tems Control Professionals, hp://www.
isaca.org, 1999.
[19] ISACA, IS Auding Guideline: Applica-
on Systems Review, Document no.
060.020.020, hp://www.isaca.org,
2003.
[20] ISACA, IS Auding Procedure: Security
Assessment Penetraon Tesng and
Vulnerability Analysis, Document no.8,
hp://www.isaca.org, 2004.
[21] IS&, The Standard for Good Pracce for
Informaon Security, hp://www.isf.
org, Ver.4, 2007.
[22] ISK/IEC 21827 (SSE CMM), System Se-
curity Engeneering Capability Maturity
Model, hp://www.iso.21827.org.,
2008.
[23] ISK/IEC 27001, Informaon Security
Management System, hp://www.
iso.27001.org, 2008.
[24] ISK/IEC 27005, hp://www. iso.27005.
org, 2008.
[25] ISK/IEC 13335, Gudelines for the man-
agement of IT Security, hp://www.
iso.13335.org, 2003.
331
BO FOO
[26] ISK/IEC 15408, Common Criteria/ITSEC,
hp://www.iso.15408.org, 2003.
[27] IT Governance Instute, COBIT: Control
Objecves for Informaon and related
Technology, 3
rd
Edion, www.ITgover-
nance.org,www.isaca.org, 2000.
[28] :erey, R. W., Karen, M. &., P
3
I Protec-
on Prole Process Improvement, Arca
Systems, Inc., william@arca.com, fer-
raiolo@arca.com, 2004.
[29] Kossakowski K., DFN CERT: Bibliography
of Computer Security Incident Handling
Documents, hp://www.cert.dfn.de/
eng/pre99papers/certbib.html, avgust
2003.
[30] Kissel R., Scholl M. i dr., Guidelines for
Media Sanizaon, NIST SP 80088,
2006.
[31] Laliberte, B., Rearchitecng Disater
recovery Soluons Leveraging WAN Op-
mizaon Technology, ESG Enterprise
strategy group, white paper, 2009.
[32] Manzuik S., Pfeil K., Network Security
Assessmentfrom vunerability to patch,
Syngress, 2007
[33] Markus G. K., Compromising emana-
ons: eavesdropping risks of computer
displays, December 2003.
[34] Mehdizadeh Y. Convergence of Logical
and Physical Security, SANS Instute,
hp://www.sans.org, 2004.
[35] Milosavljevi M., Grubor G, Osnovi bez-
bednos i zate informacionih sistema,
Univerzitet Singidunum, 2006.
[36] Milosavljevi M., Grubor G, Istraga
kompjuterskog kriminala - metodoloko
tehnoloke osnove, Univerzitet Singidu-
num, 2009
[37] Naonal Computer Security Center,
Cercaon and Accreditaon Process
Handbook for Cerers, NCSCTG031,
Version 1, 1996.
[38] Naonal State Auditors Associaon&US
General Accounng K ce, Manage-
ment Planning Guide for Informaon
Systems Security Auding, hp://www.
isaca.org, 2001.
[39] Naval Research Laboratory, USA, Hand-
book for the Computer Security Cer-
caon of Trusted Systems, hp://www.
itd.nrl.navy.mil/ITD/5540/ publicaons/
handbook, 1995.
[40] NIST SP 8003, Establishing a Computer
Incident Response Capability, hp://
www.nist.gov/publicaons, 1999.
[41] NIST SP 80012, An Introducon to
Computer Security: The NIST Handbook,
hp://www.nist.gov/publicaons, ver-
zija 2004.
[42] NIST SP 80014, Genaerally Accepted
Principles and Pracces for Security,
hp://www.nist.gov/publicaons, 2002.
[43] NIST SP 80016, Informaon Technology
Security Training Requirements: A Role
and PerformanceBased Model, hp://
www.nist.gov/publicaons,1998.
[44] NIST SP 80018, Guide for Developing
Security Plans for IT Systems, hp://
www.nist.gov/publicaons,1998/2005.
[45] NIST SP 80061, Computer Security
Incident Handling Guide, hp://csrc.nist.
gov/ publicaons/nistpubs/index.html,
2004.
[46] KCTAVEMethod Implementaon Guide,
hp://www.cert.org/octave/osig.html,
2008.
[47] Kppliger R., Security Technologies for
the World Wide Web, Artech House,
ISBN 1580530451, 2000.
[48] Krlandi, E., The Cost of Security, The
Carnahan Conference on Security Tech-
nology, IEEE Press, New York, New York,
1991.
[49] Kzier, W., Risk Analysis and Assess-
ment, Handbook of Informaton Security
Management, CRC Press, Boca Raton,
&lorida, 1999.
[50] Pankaj, G., CS497 Security engineer-
ing and soware engineering, Indian
Instute of technology, Kanpur, India,
email: [pankajgo]@cse.iitk.ac.in, 2005.
[51] Patrick, :., Organizaonal Informaon
Security From Scratch A Guarantee For
Doing It Right, SANS Instute, hp://
www.sans.org, 2000.
332
KO FOJ
[52] Persson, E., Digital Identy Service in
Sweden, Proc. of Informaon Security
Soluon Europe Conference, ISSE 2002,
Paris, Kctober 24, 2002.
[53] Petrovi, R. Slobodan, Kompjuterski
kriminal, II Izdanje, MUP R. Srbije, 2004.
[54] Petrovi, R.S., ekerevac, Z., Grubor, G.,
Security System Engineering Capabil-
ity Maturity Model in The ICT Security,
10. meunarodna nauna konfer-
encija Reavanje kriznih situacija u
specinim prostorima, &akultet speci-
jalnog inenjerstva, U, ilina, Slovaka,
2006.
[55] Purser, S., A praccal guide to manag-
ing informaon security, Artech House,
Boston, London, hp://www.artech-
house.com, 2005.
[56] RealSecure, hp://www.realsecure.org/
security/policies, 2003.
[57] R&C 2196, Site Security handbook,
hp://www.faqs.org/rfc/rfc2196.html,
1997.
[58] R&C 792, R&C 1256, R&C 950, hp://
www.icann.rfcwditor.org, 2006.
[59] Richardson, R., CSI 2008 Security Sur-
vey, strana 15. hp://www.gocsi.com/,
2008.
[60] Ridgway, L. E., Disaster Recovery: Surviv-
ability & Security. Version 1.4b GIAC
Praccal Assignment, 2003.
[61] Ross, R., Katzke, S., NIST SP 80053, A,
B, C, Recommended Security Controls
for Federal IS, hp://csrc.nist.gov/publi-
caons/nistpubs/80053/sp80053.pdf,
2005.
[62] Ross, R., Swanson, M., Guidelines for
the Security Cercaon and Accredita-
on of Federal Informaon Technology
Systems, NIST SP 80037, hp://csrc.
nist. gov/publicaons /dras/sp800
37Draver2.pdf, 2004.
[63] SANS Instute, Informaon Security
Policies & Best Pracces, www.sans.org,
2009.
[64] SANS Instute, Introducon to business
connuity planning, www.sans.org,
2009.
[65] Savola, R., Measurement of Security
in Processes & Products, www.vi.ele,
2005.
[66] Schell, P.G., McLeod, :r. R., Manage-
ment Informaon Systems, 9.izdanje,
Pearson Prence Hall, SAD, 2004.
[67] Stoneburner, G., & all, Risk Manage-
ment Guide for Informaon Technology
Systems, SP 80030, hp://csrc.nist.
gov/ publicaons, 2002.
[68] Stoneburner, G., Hayden, C. i &eringa,
A., Engineering Principles for Informa-
on Technology Security (A Baseline for
Achieving Security), NIST SP 80027,
hp://csrc.nist.gov/publicaons/nist-
pubs/80027/sp80027.pdf,, 2004.
[69] Tanasijevi, P., Physical Infrastructure
Base for IT Centre Security, Tehnicom
Computers, THNK Group, IDC konferen-
cija, Beograd, 2006.
[70] UK Department of Industry, A Taxonom-
ic Model of Trusted Third Party Services,
Gamma Secure Systems, Diamond
House, &rimley Road, Camberley, 2002.
[71] UK IT Security Evaluaon & Cerca-
on Scheme Cercaon Body, UK IT
Security Evaluaon and Cercaon
Scheme, www.uk.it.secscb.com, V. 3.0,
1996.
[72] US Department of Homeland Security,
Federal Computer Incident Response
Center: Incident Handling Checklists,
hp://www.fedcirc.gov/incident Re-
sponse/IHchecklists.html, 2003.
[73] USA CERT, hp://www.uscert.org, 2005.
[74] Velliquee, D., Computer Security Con-
sideraons in Disaster Recovery Plan-
ning, GIAC Security Essenals Cerca-
on (GSEC) V1.4b Kpon1, www.gsec.
org, 2004.
[75] Wilson Mark and Hash :oan, Building
an Informaon Technology Security
Awareness and Training Program, NIST
SP 80050, hp://www.nist.gov/publi-
caons, 2003
[76] Zadjura, :., An Introducon to Cerca-
on and Accreditaon, SANS Instute,
V. 1.4, 2003.
333
PO
INTERNET IZVORI:
hp://www.fas.org/irp/eprint/tempest.htm,
(Pristupljeno 23.03.2010).
.hp://www.phrack.org/show.php, (Pristu-
pljeno 27.04.2010).
hp://www.helpnet.securitynews.com, (Pris-
tupljeno 21.05.2010)..
hp://www. csrc.nist.gov/publicaons, (Pris-
tupljeno 13.04.2010).
hp://www..cert.org, 2006, (Pristupljeno
23.05.2010).
hp://www.cert.org/incident_notes/index.
html,(Pristupljeno 21.04.2010).
hp://www.ciac.org/ciac, (Pristupljeno
23.04.2010).
hp://www.fas.org/irp/eprint/tempest.htm,
(Pristupljeno 3.07.2010).
hp://www.rst.org/teaminfo, (Pristupljeno
3.06.2010).
hp://www.phrack.org/show.php, (Pristu-
pljeno 7.08.2010).
hp://www.sans.org/polics.html, (Pristu-
pljeno 13.08.2010)..
www.cs.dartmouth.edu/~farid/publicaons/
tr01.pdf, (Pristupljeno 20.08.2010).
www.isa.com, (Pristupljeno 23.07.2010).
www.isaca.com, (Pristupljeno 16.05.2010).
PRILOZI
337
PO
PRILOG 1.
ISO 27K STANDARDI OBJAVLJENI ILI U TOKU IZRADE
ISK/IEC 27000:2009 provides an overview or introducon to the ISK27k standards
and denes the specialist vocabulary used throughout the ISK27k series.
ISK/IEC 27001:2005 is the Informaon Security Management System (ISMS) re-
quirements standard, a specicaon for an ISMS against which thousands of organi-
zaons have been cered compliant.
ISK/IEC 27002:2005 is the code of pracce for informaon security management
describing a comprehensive set of informaon security control objecves and a set
of generally accepted good pracce security controls.
ISK/IEC 27003 will provide implementaon guidance for ISK/IEC 27001. Due for
publicaon in 2009.
ISK/IEC 27004 will be an informaon security management measurement standard
suggesng metrics to improve the eecveness of an ISMS. Publicaon due 2009.
ISK/IEC 27005:2008 is an informaon security risk management standard with ad-
vice on selecng appropriate risk analysis and management tools and methods.
ISK/IEC 27006:2007 is a guide to the cercaon or registraon process for accred-
ited ISMS cercaon/registraon bodies who award ISK/IEC 27001 cercates.
ISK/IEC 27007 will be a guideline for auding Informaon Security Management
Systems. It is expected to focus on auding the management system elements.
ISK/IEC TR 27008 will provide guidance on auding informaon security controls. It
is expected to focus on auding the informaon security controls.
ISK/IEC 27010 will provide guidance on informaon security management for sec-
tortosector communicaons.
ISK/IEC 27011:2008 is the informaon security management guideline for telecom-
municaons organizaons (also known as ITU X.1051).
ISK/IEC 27013 will provide guidance on the integrated implementaon of ISO/IEC
200001 (IT Service Management) and ISO/IEC 27001 (ISMS).
ISK/IEC 27014 will cover informaon security governance.
ISK/IEC 27015 will provide informaon security management systems guidance for
nancial services organizaons.
ISK/IEC 27031 will be an ICTfocused standard on business connuity.
ISK/IEC 27032 will provide guidelines for cybersecurity.
ISK/IEC 27033 will replace the mulpart ISK/IEC 18028 standard on IT network se-
curity.
ISK/IEC 27034 will provide guidelines for applicaon security.
ISK/IEC 27035 will replace ISK TR 18044 on security incident management.
ISK/IEC 27036 guideline for security of outsourcing (new project).
ISK/IEC 27037 guideline for digital evidence (new project).
338
KO FOJ
PRILOG 2.
RELEVANTNI STANDARDI ZATITE
Tabela P2.1. Relevantni standardi zate
Standard Opis
ISO 10007: 2003 Quality management systems Guidelines for conguraon managam.
ISO 12207: 2004 IT Soware (sw) Life Cycle Processes
ISO 117701: 1996 IT Security techniques Key management Part 1: Framework
ISO 133351: 2004
IT Management of Informaon and Communicaons Technology
Security Part 1: Concepts and Models for ICT Security Management
ISO 133352
ISO 138881: 1997 IT Security techniques Nonrepudiaon Part 1: General
ISO 141431: 1998 IT Soware Measurement (SM) Funconal Size Measurement (FSM)
ISO 141432: 2002 IT SM FSM
ISO 141436: 2006 IT Soware Funconal Size Measurement FSM
ISO/IEC 14516:2002
IT Security techniques Guidelines for the use and management of
TTPS
ISO 145981: 1999 IT Soware Product Evaluaon Part 1: General Overview
ISO 145982: 2000
Soware Engineering Product Evaluaon Part 2: Planning and
Manag.
ISO 145983: 2000 Soware Engineering Product Evaluaon Part 3: Developers Guide
ISO 145984: 1999
Soware Engineering Product Evaluaon Part 4: Process for
Acquirers
ISO 145985: 1998 IT Soware Product Evaluaon Part 5: Process for Evaluators
ISO 145986: 2001 SE Product Evaluaon Part 6: Documentaon of Evaluaon Modules
ISO 14756: 1999 IT Measurement and Rang of Performance of Computerbased Sw.
ISO 15026: 1998 IT System and Soware Integrity Levels
ISO 15288: 2002 Systems Engineering (SE) System Life Cycle Processes (SLCP)
ISO 15408:1999 Common Criteria (CC)
ISO 154891:2001
Informaon and documentaon Records management Part 1:
General
ISO 155041: 2004 IT Process Assessment Part 1: Concepts and Vocabulary
339
PO
Standard Opis
ISO 155042: 2003 IT Process Assessment Part 2: Performing An Assessment
ISO 155043: 2004
IT Process Assessment Part 3: Guidance on Performing an
Assessment
ISO 155044: 2004
IT Process Assessment Part 4: Guidance on Use for Process
Improvement and Process Capability Determinaon
ISO 155045: 2006
IT Process Assessment Part 5: An Exemplar Process Assessment
Model
ISO 15910: 1999 IT Soware User Documentaon Process
ISO 15939: 2002 IT Soware Measurement Process Framework
ISO 15940: 2006 IT SE Environment Services
ISO 16085: 2004 IT SLCP Risk Management
ISO/IEC 27001 IT Code of Pracce for Informaon Security Management
ISO 18019: 2004
Soware and SE Guidelines for the Design and Preparaon of User
Documentaon for Applicaon sw
ISO 180281 2006
IT Security techniques IT network security Part 1: Network security
management
ISO 180284
IT Security techniques IT Network security Part 4: Securing remote
access
ISO 18043: 2006
Selecon, Deployment and Operaons of Intrusion Detecon Systems
(IDS)
ISO 197701: 2006 Soware Asset Management
ISO 197961: 2005
IT Learning, Educaon, and Training Quality Management,
Assurance, and Metrics Part 1: General Approach
ISO 200001: 2005 IT Service Management Part 1: Specicaon
ISO 200002: 2005 IT Service Management Part 2: Code of Pracce
ISO 21827 2007 SSE CMM Systems Security Engineering Capability Maturity Model
ISO 25000: 2005 SE Soware Product Quality Guide Requirements and Evaluaon
ISO 25051: 2006
SE Soware Product Quality Requirements and Evaluaon
Requirements for Quality of COTS Soware Product and Instrucons for
Tesng
ISO 27001: 2005 IT Security Techniques ISMS Requirements
ISO 91261: 2001 Soware Engineering Product Quality Part 1: Quality Model
ISO 97962: 2002
IT Security techniques Digital signature schemes giving message
recovery Part 2: Integer factorizaon based mechanisms
ISO 97963: 2000
2000 IT Security techniques Digital signature schemes giving
message recovery Part 3: Discrete logarithm based mechanisms
ISO/AWI 141431: 200x Informaon Technology Soware Measurement FSM
ISO/DTR 25021: 200x
Soware and SE Soware Product Quality Requirements and
Evaluaon (SQuaRE) Measurement Primives
340
KO FOJ
Standard Opis
ISO/FCD 25020: 200x
Soware and SE Soware Quality Requirements and Evaluaon
(SQuaRE) Measurement Reference Model and Guide
ISO/FCD 25030: 200x SE Soware Quality Requirements and Evaluaon (SQuaRE)
ISO/NP 155046: 200x
IT Process Assessment Part 6: An Exemplar System Life Cycle Process
Assessment Model
ISO/NP 27004: 2010 IT Informaon Security Management Measurements
ISO/NP 27005: 2000 IT Informaon Security Risk Management
ISO/TR 133353: 1998
IT Guidelines for the Management of IT Security Part 3: Techniques
for the Management of IT Security
ISO/TR 133354: 2000
IT Guidelines for the Management of IT Security Part 4: Selecon of
Safeguards
ISO/TR 133355: 2001
IT Guidelines for the Management of IT Security Part 5: Management
Guidance on Network Security
ISO/TR 141433: 2003 IT Sw measurement Funconal Size Measurement (FSM)
ISO/TR 141434: 2002 IT Soware Funconal Size Measurement
ISO/TR 141435: 2004 IT Soware Measurement Funconal Size Measurement (FDM)
ISO/TR 14516: 2002
IT Security Techniques Guidelines for the Use and Management of
TTPS
ISO/TR 15846: 1998 IT Soware Life Cycle Processes: Conguraon Management
ISO/TR 16326: 1999 SE Guide for the Applicaon of ISO 12207 to Project Management
ISO/TR 18044: 2004 Incident Management
ISO/TR 19759: 2005
Soware Engineering Guide to the Soware Enginering Body of
Knowledge
ISO/TR 91262: 2003 Soware Engineering Product Quality Part 2: External Metrics
ISO/TR 91263: 2003 Soware Engineering Product Quality Part 3: Quality in Use Metrics
ISO/TR 91264: 2004 Soware Engineering Product Quality Part 4: Internal Metrics
ISO/TR 9294: 2005 IT Guidelines for the Management of Soware Documentaon
SP 80012 (Oct 1995) An Introducon to Computer Security: The NIST Handbook.
SP 80018 (Dec 1998)
Guide for Developing Security Plans for ITS guides the design and
documentaon of IT security controls.
SP 80023 (Aug 2000)
Guideline to Federal Organizaons on Security Assurance and
Acquision/Use of Tested/Evaluated Products
SP 80026 (dra r. 1) Security SelfAssessment Guide for Informaon Technology Systems
SP 80027 (Jun 2004 r. A) Engineering Principles for Informaon Technology Security (a baseline).
SP 80028 (Oct 2001) Guidelines on Acve Content and Mobile Code.
341
PO
Standard Opis
SP 80030 (July 2002) Risk Management Guide for and assessment and control of IT risks.
SP 80034 (June 2002) Conngency Planning Guide for Informaon Technology Systems.
SP 80035 (Oct 2003) Guide to Informaon Technology Security Services.
SP 80036 (Oct 2003) Guide to Selecng Informaon Security Products.
SP 80037 (May 2004) Guide for the Security Cercaon and Accreditaon of Federal IS.
SP 80040 (version 2) Creang a Patch and Vulnerability Management Program.
SP 80042 (2003) Guideline on Network Security Tesng.
SP 80045 (2002) Guidelines on Electronic Mail Security.
SP 80046 (Aug 2002) Security for Telecommung and Broadband Communicaons.
SP 80047 (Aug 2002) Security Guide for Interconnecng Informaon Technology Systems.
SP 80048 (Nov 2002) Wireless Network Security: 802.11, Bluetooth, and Handheld Devices.
SP 80050 (Oct 2003) Building an IT Security Awareness and Training and Educaon Program.
SP 80053 (A,B,C): 2008 Recommended Security Controls for US Federal Informaon Systems.
SP 80055 (2003) Security Metrics Guide for IKTS.
SP 80056
(latest dra Jul 2005)
Recommendaon for PairWise Key Establishment Schemes Using
Discrete Logarithm Cryptography.
SP 80057 Part 1 i 2
(Aug 2005)
Recommendaon on Key Management
SP 80058 (Jan 2005) Security Consideraons for Voice Over IP Systems.
SP 80059 (Aug 2003)
Guideline for Idenfying an IS as a Naonal Security System provides
guidance on idenfying an IS as a (US) naonal security system.
SP 80060 (Jun 2004) Guide for Mapping Types of Informaon and IS to Security Categories.
SP 80061 (Jan 2004) Computer Security Incident Handling Guide.
SP 80063 (2004) Electronic Authencaon Guideline.
SP 80064 (Jun 2004) Security Consideraons in the IS Development Life Cycle.
SP 80065 (Jan 2005) Integrang Security into the Planning and Investment Control Process.
SP 80070 (May 2005)
Security Conguraon Checklists Program for IT Products: comprises
a set of baseline conguraons for a wide variety of operang system
plaorms.
SP 80083 (Nov 2005) Guide to Malware Incident Prevenon and Handling
SP 80092 (April 2006) Guide to Computer Security Log Management
342
KO FOJ
Standard Opis
FIPS 199 (Feb 2004) Standards for Security Categorizaon of Federal Informaon and IS
FIPS 200 (Mar 2006) Minimum Security Requirements for Federal Informaon and IS
FIPS 201 (Feb 2005) Personal Identy Vericaon for Federal Employees and Contractors.
ACSI33
The Australian Government Informaon and Communicaons
Technology Security Manual (unclassied version).
SS507 Singapore Stan-
dards
Covers Business Connuity/Disaster Recovery (BC/DR) Service
Providers. It is being used as the base/donor document for ISO 27006.
343
PO
PRILOG 3.
PRIMER BEZBEDNOSNE KATEGORIZACIJE OBJEKATA VELIKOG IKTS
1. korak: struktura banke deli se u deset bezbednosnih zona prema kriterijumu u opisu
zone:
Sl. P3.1. Bezbednosne kategorije velike banke
344
KO FOJ
Bezb.
zona
Kriterijum klasikacije
1 i 2.
Uprava i odeljenje za zatu imaju sopstvene interne servere. Koriste zajedniki segment
LAN, ali rade nezavisno i dele malo podataka. Zahtevaju uvid u podatke drugih odeljenja,
kroz organizovani proces. Uprava podatke iz odeljenja za zatu dobija u vidu izvetaja.
Zato se modeluju kao dve odvojene zone.
3.
Kdeljenja se grupiu na bazi podataka koje procesiraju. Svi ovi departmani zahtevaju obi-
man pristup podacima klijenata iz razliih razloga.
4.
Proizvodni sistem sadri sve zajednike resurse, proizvodne aplikacije i podatke, uzima po-
datke sa servera smetenih u departmanima kroz transfer podataka u realnom vremenu
ili kroz batchorijensan proces. Poto sadri glavne kopije svih proizvedenih podataka,
zata ove zone je krina za uspeh banke.
5.
Departman za razvoj LANa ne sadri proizvodne podatke, ali za tesranja u IS moe
zahteva neke proizvodne podatke, to komplikuje proces zate te zone.
6. Kbuhvata svu infrastrukturu za povezivanje, koja nije spojena na Internet.
7.
Ukljuuje sve ureaje za pristup Internetu. Disnkcija izmeu ove dve zone napravljena je
iz razloga naslea razliih IKTS.
8.
Izdvojena podrunica banke, ima lokalni server, koji uva podatke lokalnih klijenata i rad-
nih stanica, aurira centralnu banku i prima aurne podatke iz nje kroz nonu razmenu
formaranih datoteka.
9. Pokriva spoljnu mrenu infrastrukturu, koju obezbeuje TTPS provajder.
10. Pokriva mrenu infrastrukturu koja obezbeuje vezu sa Internetom.
2. korak: idenkacija razliih pova sistema u svakoj zoni i klasikacija sistema na bazi
bezbednosnih zahteva; klase se tabelarno prikau, a zam se ispitaju postojei tokovi
podataka izmeu zona, koncentriui se na najvanije tokove; najvaniji tokovi se sum-
iraju i tabelarno prikau; na prethodnom modelu vri se analiza rizika.
3. korak: izbor i implementacija adekvatnih kontrola zate.
Prednos strukturnog modela bezbednosnih zona: bezbednosne zone omoguavaju
da se o specinim problemima diskutuje sa odgovarajuim osobljem; klasikovanjem
sistema u zone redukovan je broj sistema koje treba analizira i broj radnih stanica i ser-
vera sa oko 2150 na svega 25 pova sistema i stanica; kljuni tokovi informacija izmeu
klasikovanih grupa sistema korisni su za donoenje odluke za implementaciju kontrola
zate i odreivanje vrste poverljivih odnosa koje treba uspostavi u organizaciji.
345
PO
PRILOG 4.
METOD POKRIVANJA PRETNJI KONTROLAMA ZATITE
Procena pokrivanja pretnji vri se za tri osnovna efekta, indicirana sa jednim od sim-
bola:
1. kontrola zate obezbeuju adekvatnu zatu i pokrivanje dah pretnji;
2. - kombinacija kontrola zate u datom sistemu osnovne zate i kontek-
stu u kojem se kontrole koriste, ukljuujui sve opte faktore smanjenja rizika,
obezbeuje adekvatnu zatu i pokrivanje navedenih pretnji i
3. X kontrola zate u izabranom osnovnom sistemu zate ne obezbeuju
adekvatno pokrivanje navedenih pretnji.
Tabela P4.1. Procena pokrivanja greaka i prirodnih dogaaja osnovnim kontrolama
zate
Karakteriske pretnje
Procenjeno pokrivanje osnovnih kontrola zate
NISKO SREDNJE VISOKO
Greke (mainske ili ljudske) TBD
Prirodni dogaaji
Kmetanje TBD
Lokalna nesrea X TBD
Regionalna katastrofa X X TBD
Legenda
Kontrole zate u izabranoj osnovnoj za koje obezbeuju adekvatno

bezbednosno pokrivanje za idenkovane pretnje
Kombinacija kontrola zate u izabranoj osnovnoj za i kontekstu u

kojem se koriste, ukljuujui sve faktore smanjenja rizika, koje obezbeuju
adekvatno pokrivanje za idenkovane pretnje
X
Kontrole zate u izabranoj osnovnoj za, koje ne obezbeuju adekvat-
no bezbednosno pokrivanje za idenkovane pretnje
TBD Treba da bude denisan
346
KO FOJ
Tabela P4.2. Procenjeno pokrivanje osnovne zate za lokalne napade
Namerni napad: LKKALNI
Soskacija napada: NISKA TBD
Soskacija napada: VISKKA
Namera napadaa: NEMALICIKZNA
Resursi napadaa: SVI NIVKI (MINIMALNI; PRKSENI; VISKKI)
Pristup napadaa: AUTSA:DER TBD
Pristup napadaa: INSA:DER TBD
Namera napadaa: MALICIKZNA
Resursi napadaa: MINIMALNI
Resursi napadaa: PRKSENI
Pristup napadaa: INSA:DER X TBD
Resursi napadaa: ZNAA:NI
Tabela P4.3. Procenjeno pokrivanje osnovne zate za mrene napade
Namerni napad: MRENI
Soskacija napada: NISKA TBD
Soskacija napada: VISKKA
Namera napadaa: NEMALICIKZNA
Resursi napadaa: SVI NIVKI (MINIMALNI; PRKSENI; VISKKI)
Namera napadaa: MALICIKZNA
Resursi napadaa: MINIMALNI
Pristup napadaa: AUTSA:DER X TBD
Resursi napadaa: PRKSENI
Pristup napadaa: AUTSA:DER X TBD
Pristup napadaa: INSA:DER X X TBD
Resursi napadaa: ZNAA:NI
Pristup napadaa: AUTSA:DER X X TBD
Pristup napadaa: INSA:DER X X TBD
347
PO
PRILOG 5.
KRATKA ISTORIJA MALICIOZNIH PROGRAMA
Tabela P5.1. Kratka istorija malicioznih programa
Godina Podaci o kompjuterskim virusima
1962.
U Belu Robert Moris, stariji, razvio igru Darwin, koja se ponaala kao virus; zam
su se pojavili PERVADE [20], Elk Cloner [21], Core War [22] itd.
1981/2.
Prvi dokumentovani virusi, u igrama za Apple II otkrivena su najmanje tri virusa,
ukljuujui i Elk Clonera; re virus jo se nije korisla za ovakav maliciozni kd
1983.
&ormalna denicija virusa, &red Cohen: Program koji moe da zarazi druge pro-
grame tako to ih menja da sadre izmenjenu verziju samog sebe. [9]
1986.
Prvi PC virus Brain, incirao Microso DOS sisteme; irio se preko boot sektora
diskete i menjao ime diskete.
1988. Robert Moris je oslobodio primivnog crva i stopirao rad 10% Interneta.
1990. Prvi polimorfni virusi koji izbegavaju AVP; menjaju se svaki put kod pokretanja.
1991. Virus Construcon Set (VCS), preko BBSa i omoguio lako pravljenje virusa.
1992. Globe virus, akviran u Windows KS; dodeljuje .exe ekstenziju .com datoteci.
1994. Good Times lani virus, izazvao veliku paniku; poznata tete od virusa.
1995/6. Prvi makro virusi; pojava netcata za UNIX KS, danas se koris kao backdoor.
1998.
StrangeBrew, prvi :ava virus, incirao druge :ava programe, ugrozio Internet
aplikacije.
1998. Pojava netcata za Windows operavne sisteme.
1998. Back Orice, backdoor za udaljenu administraciju Windows KS.
1999.
Melissa makro virus/crv, napada Word dokumente; iri se putem e.maila;
funkcionie u MS Word 97, 2000 i MS Kutlook 97 ili 98 e.mail klijentu
1999. Back Orice 2000 (BK2K), GUI interfejs, API za kontrolu mia/tastature/ekrana.
1999. Knark KernelLevel RootKit, za skrivanja fajlova i procesa RM u kernelu Linux KS.
2000. Love Bug, VBScript iri se preko ranjivos Microso Kutlooka.
2001.
Code Red crv, koris buer overow ranjivost IIS Web servera; preko 250.000
maina su postale rtve za manje od osam sa.
2001.
Kernel Intrusion System, revoluciju u rutkit manipulaciji kernelom Linux KS
uvoenjem GUIa i jako efekvnih mehanizama za sakrivanje.
2001.
Nimda crv koris ranjivos u MS proizvodima, kompromitovao preko 86.000
raunara, naneo vie od 635 miliona dolara tete; stvara Guest nalog sa adminis-
tratorskim privilegijama i kompromituje raunar.
2003. SQL Slammer UDP crv; zarazio 75.000 raunara za manje od 10 minuta.
2004. Santy crv, koji je prvi koriso Google za pronalaenje novih rtava.
2006. 16. februar, otkriven je prvi maliciozni sover za Mac KS X, trojanac OSX/Lear.
2007. Storm crv, pravi bot mreu; za est meseci incirao oko 1.7 miliona raunara.
2008. Koobface crv, iri se preko Facebook i MySpacea.
2009.
Concker crv zarazio preko 20 miliona MS servera; MS ponudio 250.000 US$ za
hapenje autora crva; do masovnog DoS napada nije dolo do 31. 05.2009.
348
KO FOJ
PRILOG 6.
PRIMERI KONFIGURACIJE LOGI,KE BARIJERE U RA,UNARSKOJ MREI
Sl. P6.1. &ilter paketa korien kao granini ruter
Sl. P6.2. Tipini proksi agen
Sl. P6.3. Konguracija aplikavnog proksija
349
PO
Sl. P6.4. :ednostavna rurana mrea sa logikom barijerom
Sl. P6.5. Logika barijera sa DMZ
Sl. P6.6. Mrea sa drugom vezom spolja
350
KO FOJ
PRILOG 7.
GRAFI,KI MODEL IMPLEMENTACIJE ISMS

S
l
.

P
7
.
1
.

G
r
a
k
i

f
u
n
k
c
i
o
n
a
l
n
i

m
o
d
e
l

i
m
p
l
e
m
e
n
t
a
c
i
j
e

I
S
M
S
351
PO
PRILOG 8.
TIPI,NI PAROVI RANJIVOST/PRETNJA (V/T)
Tabela P8.1. Tipini parovi ranjivost/pretnja
Ranjivost V Pretnja T koja je moe iskoris
Okruenja i infrastrukture
Nedostatak zike zate zgrade, vrata i prozora Kraa
Neadekvatne upotreba AC zgradama i sobama Kraa, namerno oteenje
Nestabilna elektrina mrea &luktuacija napona napajanja
Lokacija u oblas podlonoj poplavi Poplava
Hardver
Nedostatak eme periodine zamene (zanavljanja) Kvar medija za skladitenje
Ksetljivost na varijacije napona napajanja &luktuacija napona
Ksetljivost na varijacije temperature Eksterne temperature
Ksetljivost na vlagu, prainu, prljavnu Praina
Ksetljivost na EM zraenje Izvori EM zraenja
Loe odravanje/pogrena instalacija medija za skladitenje Greka odravanja
Nedovoljno ekasna kontrola upravljanja konguracijom Greka operatera
Sover
Nedovoljan/nekompletan prol korisnika Pad sovera
Bez ili nedovoljno tesranje sovera Neovlaena upotreba sovera
Komplikovan korisniki interfejs Greka operatera
Nedostatak mehanizama I&A Kraa identeta legimnih korisnika
Nedostatak kontrolnih tragova (audit trail) Neovlaena upotreba sovera
Poznata greka (bag) u soveru Neovlaena upotreba sovera
Nezaena lista pasvorda Kraa identeta korisnika
Loe upravljanje lozinkom Kraa identeta korisnika
Pogrena alokacija prava pristupa Neovlaena upotreba sovera
Nekontrolisano preuzimanje i upotreba sw Maliciozni kdovi
Ulogovan posle naputanja radne stanice Neovlaena upotreba sovera
Nedostatak efekvne kontrole promena Pad sovera
Nedostatak dokumentacije Greke operatera
Nedostatak rezervnih kopija (bekapa) Maliciozni programi ili poar
Kdlaganje/upotreba medija bez saniranja Zloupotreba podataka i informacija
Kmoguen nepotreban servis Upotreba neovlaenog sovera
Nezreo ili novi sover Nekompetentno tesranje
airoko distribuirani sover Gubitak integriteta u procesu distribucije
352
KO FOJ
Komunikacije
Nezaene komunikacione linije Prislukivanje ocanje informacija
Loe spajanje kablova Inltracija u komunikacione linije
Nedostatak I&A poiljaoca i primaoca Kraa identeta korisnika
Ktvoren prenos pasvorda Mreni pristup ilegalnog korisnika
Nedostatak dokaza o slanju i prijemu poruka Poricanje transakcije
Dialup linije Mreni pristup ilegalnog korisnika
Nezaen prenos osetljivih informacija Prislukivanje
Neadekvatno upravljanje mreom Preoptereenje saobraaja
Nezaene konekcija javne mree Neovlaeno korienje sovera
Nebezbedna mrena arhitektura Upad u mreu
Dokumentacija
Nezaeno skladite Kraa
Nebriga kod odlaganja Kraa
Nekontrolisano kopiranje Kraa
Personal
Kdsustvo zaposlenih Nedostatak radnika
Nekontrolisanje rada od strane obezbeenja Kraa
Nedovoljna bezbednosna obuka Greka operavnog osoblja
Nedostatak sves o potrebi zate Greke korisnika
Nekorektno korienje sovera i hardvera Greka operavnog osoblja
Nedostatak mehanizama za monitorisanje Neovlaeno korienje sovera
Nedostatak polike za zatu prenosa podataka Neovlaeno korienje RM
Neadekvatna procedura za prijem radnika Namerna teta
Proceduralne
Nedostatak ovlaenja za procesiranje informacija Namerno oteenje
Nedostatak procesa za ovlaenje pristupa javnim inform. Korupcija podataka
Nedostatak procesa za reviziju (superviziju) prava pristupa Neovlaeni pristup
Nedostatak procedure za kontrolu ISMS dokumentacije Korupcija podataka
Nedostatak formalne procedure za registraciju korisnika Neovlaeni pristup
Nedostatak kontrole inventara imovine Kraa
Nedostatak polike upotrebe mobilnog raunara Kraa
Nedostatak formalne procedure supervizije ISMS zapisa Korupcija podataka
Nedostatak polike ist sto i ist ekran Kraa informacija
Nedostatak/nedovoljna zata od kupaca i/ili TTP Neovlaeni pristup
Nedostatak/nedovoljna zata od zaposlenih Kraa i prevara
Nedostatak planova za konnuitet poslovanja Tehniki kvarovi
353
PO
Nedostatak propisne alokacije odgovornos u za Poricanje transakcija
Nedostatak procedure za idenkaciju i procenu rizika Neovlaeni pristup IKTS
Nedostatak polike upotrebe epote Pogreno ruranje poruka
Nedostatak procedura za rukovanje klasikovanih inform. Greke korisnika
Nedostatak procedure za zatu intelektualne svojine Kraa informacija
Nedostatak procedure za izvetaje o slabosma zate Ilegalna upotreba RM
Nedostatak procedure za uvoenje sovera u KS Greka operatera
Nedostatak procedure za kontrolu promena Greka u odravanju
Nedostatak regularnog audinga Neovlaeni pristup
Nedostatak regularne revizije upravljanja Zloupotreba resursa
Nedostatak mehanizama za nadzor proboja sistema Namerna oteenja
Nedostatak odgovornos u za u opisu posla Greka korisnika
Nedostatak evidencija greaka u log datotekama
Neovlaena upotreba so-
vera
Nedostatak evidencija greaka u log datotekama Greke operatera
Nedostatak denisanih procesa za upravljanje incidentom Kraa informacija
Opte ranjivos poslovnih aplikacija za procesiranje
Nekorektno podeavanje parametara Korisnika greka
Primena aplikavnih programa na pogrene podatke Neraspoloivost podataka
Nemogunost izrade izvetaja o upravljanju Neovlaeni pristup
Netani podaci Korisnika greka
Opte primenljive ranjivos
Greka u jednoj taki Pad komunikacionog servisa
Neadekvatan servis za odravanje Kvar hardvera
Nepropisno projektovan i lo rad sa sistemom zate Intercepcija i prislukivanje veza
Primer esmacije ranjivos informacione imovine
Prisustvo ranjivos samo po sebi ne izaziva tetu sistemu. Ranjivost je stanje ili skup stanja, koji
doputa da je neki napad iskoris i nanese tetu informacionoj imovini. Kao rezultat dogaaja
jedne ili vie pretnji (T), ranjivost (V) se rangira u odnosu na: intenzitet ucaja Ti i potencijalnu
izloenost gubicima verovatnou da e pretnje iskoris ranjivos i uca na imovinu Pu,
(NIST &IPS 80030).
354
KO FOJ
Tabela P8.2. Primer skale rangiranja ukupnih ranjivos IKTS
Opis Skala
Proboj moe rezulra u neznatnim gubicima i povredama sistema. 1
Proboj moe rezulra u malim gubicima ili povredama sistema. 2
Proboj moe rezulra u ozbiljnim gubicama i povredama sistema, a poslovi mogu
bi ugroeni.
3
Proboj moe rezulra u vrlo ozbiljnim gubicima i povredama sistema, a poslovi
mogu propas.
4
Proboj moe rezulra u vrlo visokim novanim gubicima, ili u izuzetno ozbiljne
povrede pojedinaca ili organizacije (reputacije, privatnos, konkurentske pozicije),
a poslovi mogu propas.
5
355
PO
PRILOG 9.
TAKSONOMIJA BEZBEDNOSNIH PRETNJI STABLO PRETNJI
356
KO FOJ
I. TIPOVI UOBI,AJENIH PRETNJI (ISO/IEC 27005)
Sledea lista, poreane u alfabetskom redosledu ne prema prioritema, daje primer
pinih relevantnih pretnji, gde agen pretnje mogu bi: D namerna akcija prema
informacionoj imovini, A sluajna ljudska akcija, koja moe ote informacionu imov-
inu, E prirodni dogaaj bez ucaja oveka
Tabela P9.1. Tipovi uobiajenih pretnji (ISK/IEC 27005)
357
PO
Tabela P9.2. Humani izvori pretnji (H)
Izvor pretnje
[H]
Movacija Akcija agenta pretnje
Haker, kraker
Izazov, ego, frustracija,
pobuna
Hakovanje, drutveni inenjering
upad u sistem, proboj, neovlaeni pristup sistemu
Kompjuterski
kriminalac
Destrukcija i ilegalno
otkrivanje informacija,
kraa novca, ilegalna
izmena podataka
Kompjuterski kriminal, prevara (intercepcija, kraa
identeta itd)
spoong (skeniranje i njukanje po sistemu), upad u
sistem
Terorista
Ucena, destrukcija
eksploatacija, osveta
Bombaki napad, informaciono ratovanje, napad na
sistem (DDoS)
proboj u sistem, prislukivanje sistema
Industrijska
pijunaa
Konkurentska pred-
nost,
ekonomska pijunaa
Ekonomska eksploatacija, kraa informacija, upad u
linu privatnost
drutveni inenjering, upad u sistem
neovlaeni pristup sistemu (kraa...)
Napad
insajdera
(slabo obuen,
nezadovoljan,
maliciozan,
otputen
zaposleni)
Znaelja, ego,
obavetajni rad,
novana korist,
osveta,
nenamerna greka ili
omaka
Napad ne zaposlenog, ucena,
pretraivanje vlasnikih informacija,
zloupotreba raunara, prevare i krae, korupcija
informacija, unos korumpiranih ili falsikovanih
podataka,
maliciozni kod, prodaja personalnih informacija,
sistemski bagovi, upad u sistem, sabotaa,
neovlaeni pristup
Dodatne reference za taksonomije pretnji (ISK/IEC TR 15446 i Sekcija 4, NIST SP80030).
II. PRIMERI TAKSONOMIJA ZA ESTIMACIJU PRETNJI
Tabela P9.3. &rekvencija pojave pretnje (T
f
) (NIST SP 80030)
Skala rangiranja Opis
Vrlo visok (VV) > 100 puta godinje
Visok (V) izmeu 10 i 100 puta godinje
Srednji (S) izmeu 1 i 10 puta godinje
Nizak (N) izmeu 0,1 i 1 put godinje
Vrlo nizak (VN) < 0,1 put godinje (manje od 1 put na svakih 10godina)
Tabela 6.3. Kapacitet izvora pretnje
Vrlo visok (VV) > 2% od svih izvora pretnji
Visok (V) u glavnih 16% od svih izvora pretnji
Srednji (S) prosena vena i resursi (izmeu donjih 16% i glavnih 16%)
Nizak (N) u donjih 16% od svih izvora pretnji
Vrlo nizak (VN) poslednji 2% od svih izvora pretnji
358
KO FOJ
Rangiranje agenata pretnji (NIST &IPS SP 80030)
Agen pretnji su ente koji mogu namerno ili nenamerno iskoris ranjivos sistema i
nane tetu informacionoj imovini. Agente pretnje rangiramo u odnosu na:
Movaciju mera koja kombinuje potencijalnu korist agenta pretnje i resurse koji su
mu na raspolaganju za izvrenje (nije faktor za prirodne fenomene):
Tabela P9.4. Rangiranje pretnji u odnosu na movaciju
Rangiranje sposobnos Rangiranje movacije
1 2 3
1 1 2 3
2 2 3 4
3 3 4 5
Kapacitet mera sposobnos i zahtevanog napora agenta pretnje da uspeno napadne
IKTS koristei njihove ranjivos, a obuhvata: tehniku, znanje, resurse, priliku.
Tabela P9.5. Rangiranje kapaciteta i movacije napadaa
Kapacitet Skala Movacija
Malo ili bez sposobnos za preduzimanje napada. 1 (N) Mala ili bez movacije.
Umerene sposobnos. Ima znanje i venu da pre-
duzme napad ili mu nedostaje neko znanje, ali ima
dovoljno resursa da preduzme napad.
2 (S)
Umeren nivo movacije. Mogao
bi delova ako se pokrene/
provocira.
Vrlo sposoban. Ima znanje, venu i resurse da
preduzme napad.
3 (V)
Visoko movisan. Gotovo
odreen da preduzme napad.
Tabela P9.6. Rangiranje ukupnih agenata pretnji
Rang Opis
1 Malo ili bez sposobnos ili movacije
2
Malo ili bez sposobnos, umeren nivo movacije; malo ili bez sposobnos, visoko
movisan; umereno sposoban, umeren nivo movacije
3 Veoma sposoban, umereno movisan; umereno sposoban,umereno movisan
4 Vrlo sposoban, umereno movisan; umereno sposoban, vrlo movisan
5 Vrlo sposoban, vrlo movisan
359
PO
Tabela P9.7. Proraun frekvencije pojave bezbednosnog incidentapretnje (T
f
)
Vrlo visok (VV) > 100 puta godinje
Visok (V) izmeu 10 i 100 puta godinje
Srednji (S) izmeu 1 i 10 puta godinje
Nizak (N) izmeu 0,1 i 1 put godinje
Vrlo nizak (VN) < 0,1 put godinje (manje od 1 put na svakih 10godina)
Tabela P9.8. Kapacitet izvora pretnje
Vrlo visok (VV) > 2% od svih izvora pretnji
Visok (V) u glavnih 16% od svih izvora pretnji
Srednji (S) prosena vena i resursi (izmeu donjih 16% i najviih 16%)
Nizak (N) u donjih 16% od svih izvora pretnji
Vrlo nizak (VN) najniih 2% od svih izvora pretnji
Preporuka za esmaciju faktora rizika za proraun verovatnoe bezbednosnog inci-
denta (P
t
) u sledeoj tabeli moe se korigova po zahtevu vlasnika sistema:
Tabela P9.9. Proraun verovatnoe pojave incidenta napada (realizacije pretnje) (Pt)
Nivo Esmacija Denicija
Vrlo visok 1 Vrlo visoka verovatnoa napada sve dok se ne primeni zata.
Visok 2
Smatra se da postoji visoka verovatnoa napada ako zata nije
primenjena.
Srednji 3 Smatra se da postoji razumna verovatnoa napada.
Nizak 4 Smatra se da je rizik od napada nizak.
Vrlo nizak 5 Smatra se da postoji vrlo niska verovatnoa napada.
360
KO FOJ
PRILOG 10.
PRIMERI ODRE0IVANJA VEROVATNO*E I NEODRE0ENOSTI PRETNJI
Tabela P10.1. Verovatnoa realizacije pretnje (P)
Klasa Vrsta
P (01)
ili (05)
Aero zagaenje Praina, padavine, gasovi, smog, dim
Modikacija inf.
imovine
Aplikavnog sovera, datoteka podataka, hardvera,
sistemskog sovera, zatnog sovera
Komunikacijske greke Prekid veze, greke u radu/um
Kompromitacija
sistema
Pristup agenta pretnje i bivih zaposlenih, nepropisno iz-
davanje i oznaavanje informacija, gubljenje dokumenata i
medija, KEMZ, otvorena vrata/kontejner
Kompromitacija
lozinke
&iziki ulazak u prostor IKT sistema, tehniki prodor
(prislukivanje), neovlaeni upad (haker)
Tehnika greka Unesena, operavnog rada, programiranja, prenosa
Vatra Lokalni poar, katastrofa/via sila, eksplozija, spolja
Upad/oteenje Provala, nelojalno osoblje, sabotaa, terorizam,
Prevara/pronevera Lani izvetaj, pronevera, lano predstavljanje/ulaz
Geoloki potresi Zemljotres, klizite zemlje, vulkanska erupcija
Greke hw u
okruenju
Hlaenje, grejanje, venlacija
Kteenja vodom Prskanje cevi, curenje esmi, kia(krov, prozor), poplava
Zabrane Kkupacija, evakuacija, epidemija, pobuna, obustava rada..
Interferencija EM, EMINE (EM impuls nuklearne eksplozije), radio opseg
Gubitak inf/pod Spolja, iznutra, neregularno
Prekid napajanja Spolja, iznutra, neregularno
Zloupotreba IKT Spolja, iznutra, neregularno
Povrede/smrt Nevreme/poledica, oluja/orkanski vetar, ciklon/tornado
Stako pranjenje Nevreme/poledica, oluja/orkanski vetar, ciklon/tornado
Kteenja Nevreme/poledica, oluja/orkanski vetar, ciklon/tornado
Pad sistema Hardvera, sovera
Kraa Hardvera, sovera
361
PO
Tabela P10.2. Stepen neodreenos pretnje (N)
Denicija Mera verovatnoe pojave (V) i intenziteta manifestacije pretnje (I)
Niska N: V/I Postoje pouzdani staski podaci o pretnjama (vatra i sl.)
Niska N: I
Visoka N: V
Nije poznato kada e se pretnja dogodi, ali je sigurno da e bi visokog
intenziteta (neprijateljski napad i sl.)
Niska N: V
Visoka N: I
Moe se tano predvide pojava T, ali moe bi beznaajna i/ili vrlo ozbiljna
(npr. operaterska greka)
Srednja N: V/I Staski podaci su dosta retki, ali su srazmerno tani (npr. kraa)
Visoka N: V/I Informacije su vrlo zanimljive za irok krug ljudi (npr. poverljivi podaci)
I. sluaj esmacije (E) verovatnoe pojave pretnje (V):
najpoznaji, baziran na V za staski praene prirodne i vetake dogaaje,
obuhvata poplavu, oluju, kiu, sneg, ekstremnu temperaturu, poar i lokalni kriminal.
Tabela P10.3. I. sluaj esmacije(E) verovatnoe pojave pretnji
Ako je: A gornja granica (1), B donja granica (0), E opsega verovatnoe (0,1) bie:
a. arimeka sredina A i B, ako se ceni da su vrednos simetrino distribuirane u opsegu:
E=(A+B)/2;
b. geometrijska sredina A i B, za vrednos od dva i vie redova veliine: E=(AxB)1/2
c. harmonijska sredina A i B, ako se veruje da je verovatnoa blie B: E=2(1/A+1/B)
d. Hurvicova sredina, ako se eli izrazi vlasta pesimiska procena o tome kakva e vero-
vatna pretnja bi; uvodi se Hurvicov procenat H (od 1 do 100), (na primer: ako mislite
da je verovatnoa niska stavi H=10 ili 20, a visoka H=80 ili 90): E=(HxA+(100H)xB)/100
e. PERT esmacija, ako su granice A i B istog reda veliine i ako se moe proceni najvero-
vatnija vrednost M, koja moe bi u skladu sa nekom poznatom situacijom i izrazi
uverenje D u M na skali od 1 10: E=(A+DxM+B)/(D+2)
f. logaritamska PERT esmacija se koris, ako su opsezi A i B 2 reda veliine
II. sluaj esmacije (E) verovatnoe pojave pretnje (V):
koris se tamo gde postoji nizak stepen neodreenos pretnji po intenzitetu (I),
(npr. neprijateljski napad, jak zemljotres, i sl.) i visok stepen neodreenos V,
za esmaciju V koris se vei broj sluajeva,
procenjuje se verovatno vreme t izmeu pojava pretnje, a E verovatnoe je
reciprona vrednost tog t,
model je pogodan za E dogaaje koji se javljaju sa stepenom progresije od 10x3,
tj. jedan put svakih 3 000 godina, 300 godina, 30 godina, 3 godine, sedmino,
dnevno, na 10 minuta u toku dana, itd.
362
KO FOJ
Tabela P10.4. Primer II. sluaja esmacije (E) verovatnoe pojave pretnji (V)
Vreme Verovatnoa Komparavni dogaaj
dnevno 300 instalacija inicijalnog programa
sedmino 30 potpuno bekapovanje
sezonski 3 upgrade KS
na 3 god. 0,33 zamena IKTS (PC)
30 god. 0,033 rat
300 god. 0,0033 pad imperije
3000 god 0,00033 religiozno udo
30 000 g. 0,000033 ljudska rasa
300000 g 0,0000033 geoloko vreme
III. sluaj esmacije (E) verovatnoe pojave pretnji (V):
koris se gde je N stepen neodreenos V, a visok stepen neodreenos I (npr.
operavna greka),
za esmaciju intenziteta pretnji koris se numeriki sistem,
za meru se uzima procenjeno vreme u ovek/sek. koje e verovatno bi izgublje-
no zbog pada sistema i oporavka, a rauna se od trenutka ucaja pretnje,
za faktor progresije se moe uze, takoe, faktor 10x3.
Tabela P10.5. Primer III. sluaja esmacije (E) verovatnoe pojave pretnje (V)
vreme intenzitet komparavni dogaaj
3 sec 3 korekcija tamparske greke
30 sec 30 korekcija reenice
5 min 300 restauracija datoteke
50 min 3 000 restauracija sistema aplikacija
9 h 30 000 restauracija KS
4 dana 300 000 restauracija baze podataka iz backup sistema
40 dana 3 000000 restauracija baze podataka iz vrste kopije
IV. sluaj esmacije (E) verovatnoe pojave pretnje (V):
koris se gde postoji umeren stepen neodreenos V i I i gde postoje neki razba-
cani i nesreeni staski podaci (npr. kraa),
konstruie se pretpostavljena staska distribucija V i I pretnji,
363
PO
na uzorcima distribucije izvri esmaciju srednje vrednos i standardne devi-
jacije,
1. nain simulacije: procene se maksimalne i minimalne mogue vrednos V i I (A,B),
prevede distribucija simuliranih podataka u ova dva opsega i izvuku uzorci iz distribuci-
ja,
esmacija V i I moe uze u obzir staske podatke o procenjivanim pretnja-
ma,
kao baza simulacije koris se (Beta) distribucija i moe se napravi da strmina
(odstupanje od srednje vrednos najfrekventnije pojave) i tok (stepen glatkoe)
simuliranih staskih distribucija odgovaraju impresiji korisnika,
2. nain simulacije je upotreba Fuzzy skupova: konstruiu se distribucije V dogaaja
iz kojih se pomou distribucije u opsegu (0,1) sa parametrima oblikovanja (a,b) uz-
imaju sluajni uzorci,
za prevoenje distribucije u distribuciju simuliranih V ili I, treba mapira prirod-
na stanja na linearnu decimalnu skalu,
opseg simuliranih varijabli treba da bude dva reda veliine ili manji,
da bi se generisala i oblikovala distribucija, generiu se dve (gama) distribucije
sluajnih varijabliX1 i X2,
X1 adivna konvolucija a negavne eksponencijalne sluajne promenljive sa
srednjom vrednos jednakom 0,1,
X2 adivna konvolucija b eksponencijalne promenljive, (konvolucija u ovom
sluaju sabiranje i delenje u odreenom trenutku),
beta distribuirana sluajna varijabla X=X1/(X1+X2) je koecijent konvolucije X1 i
adivne konvolucije X1 i X2.
Tabela P10.6. IV. sluaj esmacije (E) verovatnoe pojave pretnji (V)
Beta distribucija je priblino zvonastog oblika koji se precizno formira izborom a i b
parametara: a visok, b nizak pomera srednju vrednost prema 1; b visok, a nizak pomera
srednju vrednost prema 0; a i b jednaki, pomeraju srednju vrednost prema 0.5; a i b visoki
proizvode vrnu distribuciju; a i b niski proizvode ravnu (glatku) distribuciju.
Parametarski par >a,b@ bira se tako da reektuje procenu menadera o prirodi pretnje. Skala: H
visok, M srednji, L nizak, ima tri kvaliteta: M (veliina): visoka/niska V ili I pomera srednju
vrednost desno/levo; H (obezbeuje E): pomera srednju vrednost neznatno desno ili levo; C
(poverenje u E): moe bi visoko ili nisko, (vrna ili ravna kriva).
Moe se generisa svih sto moguih kombinacija a i b poto svaki parametar oblikovanja varira
od 1 10. Crtanjem rezulrajue distribucije i izborom 27 kombinacija a i b koje daju dijag-
rame najbolje kombinacije M, H i C, moe se generisa oblik distribucije po elji.
364
KO FOJ
V. sluaj esmacije (E) verovatnoe pojave pretnji (V):
koris se gde postoji visoka neodreenost V i I i gde su informacije veoma zanim-
ljive irokom krugu ljudi (npr. otkrivanje osetljivih informacija),
u ovom modelu analiar treba da pogaa korienjem skale rangiranja ili sa
premoavanjem i podeavanjem.
Tabela P10.7. V. sluaj esmacije (E) verovatnoe pojave pretnji (V)
Skala rangiranja. kada kvalitavna E, koju naprave konsultan ili menadment, ue u procenu
V ili I pretnje, oni koji daju informacije moraju izabra za procenjenu vrednost najblii mogui
broj na skali od 1 do 5. Zam se ova skala prevede u prirodniju logaritamsku od 0 1 vremena
i veliine, da bi se dolo do iskorisvih parametara:
0=0; 1=0,1586; 2=0,5000; 3=0,7126; 4=0,8747; 5=1
Napomena: ovo nije stvarna logaritamska skala zbog uvoenja vrednos 0 za 0 sluajeva,
umesto vrednos neto malo iznad 0.
Prenoenje i podeavanje: analiar uporeuje T prema dogaajima ije su verovatnoe i
intenzite dobro pozna (npr. fatalnost motornih vozila) i podeavaju odreivanjem faktora
koliko puta je vie ili manje verovatna pojava razmatrane T.
Tabela P10.8. Procena tete (cost-benet ekonomsko tehnika analiza rizika)
1.
Kbezbeuje komparaciju godinjih trokova zate IS prema ceni oekivanih godinjih
gubitaka (KGG) i svodi svaku analizu rizika na novanu vrednost.
2.
Ne prihvata se sistem zate ako su trokovi zate vei od OGG = T x A; T verovatnoa
pojave pretnje/godini, a A vrednost objekta na koji se pretnja odnosi.
3. Treba vodi stasku i uradi kompjutersku evaluaciju na realnim pokazateljima.
4. Kbavezno analizira prednost provnika, dobijenu nanoenjem nastale tete.
5. Proceni trokove projektovanja i nadgradnje oteenog procesa/proizvoda IKTS.
6. Proceni cenu rada na uklanjanju negavnih posledica napada.
Za automatsku obradu, KK baza podataka stabla pretnji pohranjuju se u bazu poda-
taka zajedno sa ocenom mere intenziteta I svakog faktora rizika sa nijom gradacijom.
Tabela P10.9. Finija gradacija verovatnoe pojave pretnji
Zanemarljiva Nije verovatno da e se dogodi.
Vrlo niska Verovatno e se dogodi 2 3 puta svake pete godine.
Niska Verovatno e se dogodi jedan put svake godine ili manje.
Srednja Verovatno e se dogodi svakih est meseci ili manje.
Visoka Verovatno e se dogodi jedan put svakog meseca ili manje.
Vrlo visoka Verovatno e se dogodi vie puta svakog meseca ili manje.
Ekstremna Verovatno e se dogodi vie puta svakog dana.
365
PO
PRILOG 11.
METODI PROCENE UKUPNOG RIZIKA
Metod matrice rizika sa predenisanim vrednosma (ISK/IEC 133353)
Vrednost zike imovine A se procenjuje u odnosu na trokove zamene ili rekon-
strukcije resursa (kvantavna mera). Vrednost programske A se procenjuje isto kao
zika A. Vrednost iste A se odreuje intervjuisanjem vlasnika informacija (IoS izjava
o osetljivos), koja pokriva linu bezbednost i podatke, normavne, pravosudne i dr.
obaveze, komercijalni i ekonomski interes, nansijske i nematerijalne gubitke poslovnu
poliku i operacije. Sve kvantavne vrednos A se konvertuju u kvalitavne (N, S, V).
Primenjuju se kriterijumi za odreivanje vrednos informacija. Za procenu rizika koriste
se tri parametra vrednos: A, T i V. Svaka vrednost parametra se procenjuje u odnosu na
mogue posledice (gubitke, tetu) ucaj. Ucaj T se posmatra u odnosu na mogunost
iskorienja neke ranjivos V. Svi parametri se kvankuju proizvoljnom gradacijom
(PREPORUKA: N=1, S=2, V=3). Taksonomija pretnji: namerni napad, ucaj okruenja,
greke ljudi i kvar opreme. Kompleranje parova pretnje - ranjivos (T/V) za svaku
grupu imovine (A) koji se uporeuju sa opsezima predenisanih vrednos.
Za kompleranje matrice podaci se skupljaju intervjuom tehnikog osoblja, zikom
kontrolom lokacije i revizijom dokumenata. Za svaku A, razmatra se V i korespondirajua
kombinovana T. Ako ima V bez korespondirajue T nema tekueg rizika (mora se pra-
). Kdgovarajui red u matrici idenkuje se sa vrednos A. Kdgovarajua kolona
se idenkuje sa vrednos ucaja U posledicom T/V para. Veliina matrice rizika u
pogledu broja kategorija (nivoa rangiranja) intenziteta T, V i A mogu se menja po volji
organizacije. Primer u dodatku standarda ISO/IEC 13335-3):
A: 0 (niska), 1 (znaajna), 2 (srednja),3 (visoka), 4 (vrlo visoka),
V: 0 (niska), 1 (srednja), 2 (visoka)
T: 0 (niska), 1 (srednja), 2 (visoka
R = A +V +T; Rmin=0; Rmax=8
(R sve celobrojne vrednos Rmin Rmax, ukljuujui i njih.
Matrica predenisanih vrednos za procenu idenkuje za svaku kombinaciju relevant-
ne mere nivoa rizika na skali od 1 8. Vrednost faktora rizika stavlja se u matricu rizika
na struktuiran nain, (Tabela 1.1): Neka je: A=3, T=V, a V=N, faktor rizika R= R = A +( T/
V)= 5. Neka je: A=2, T=N, a V=H, faktor rizika R= R = A +( T/ V)= 4
366
KO FOJ
Tabela P11.1 Matrica predenisanih vrednos za procenu rizika
T 0 1 2
A
V 0 1 2 V 0 1 2 V 0
0 0 1 2 0 0 1 2 0 0
1 1 2 3 1 1 2 3 1 1
2 2 3 4 2 2 3 4 2 2
3 3 4 5 3 3 4 5 3 3
4 4 5 6 4 4 5 6 4 4
Metod rangiranja pretnji prema proceni rizika merenjem rizika
&ormalno se koriste samo dva parametra: A ucaj na informacionu imovinu (= vrednos A) i
Pu verovatnoa ucaja ostvarenja pretnje (iskorienja ranjivos). Implicitno se podrazumeva
da je ucaj na informacionu imovinu (A) ekvivalentan njenoj vrednos. Prijetnje T se procen-
juju u odnosu na odgovarajue ranjivosV (izloenost) i meri verovatnoom ucaja (na A) Pu.
Mogue vrijednos su u rasponu: 1 (mala) 5 (vrlo velika). Nivo rizika odreuje proizvod h
dvaju parametra: R= AxPu
Tabela P11.2. Matrica za rangiranje pretnji (kolona a) prema proceni rizika
Opis T
(a)
Ucaj (A)
(b)
Verovatnoa (Pu)
(c)
Nivo rizika (R)
(d)
Rang pretnje
(e)
Pretnja A 5 2 10 2
Pretnja B 2 4 8 3
Pretnja C 3 5 15 1
Pretnja D 1 3 3 5
Pretnja E 4 1 4 4
Pretnja & 2 4 8 3
Tok procesa:
Evaluira vrednos A prema predenisanoj skali: 1 5 za svaku izloenost imov-
ine A (kolona b u Tabeli), gde je 1 najnia veliina
Evaluira verovatnou dogaaja pretnje Pu prema predenisanoj skali: 1 5 za
svaku T (kolona c u Tabeli), gde je 1 najnia veliina
Prorauna nivo rizika R=bxc (kolona d u tabeli)
Rangira pretnje (faktore rizika) prema visini nivoa faktora rizika (kolona e u Ta-
beli)
367
PO
Minimalna i maksimalna vrijednost procenjenog rizika iznose:
Rmin = Amin x Pumin = 1,
Rmax = Amax x Pumax = 25 .
Procenjeni rizik moe poprimi celobrojne vrednos izmeu Rmin i Rmax, ukljuujui i
njih, ali iskljuujui proste brojeve izvan raspona vrijednos i njihove viekratnike.
PREDNOSTI: metod omoguava: poreenje razliih T sa razliim ucajima na A
i verovatnoama dogaanja, rangiranje prema prioritema ublaavanja, mogu se
pridrui i nansijske (kvantavne) vrednos ako je potrebno.
Tabela P11.3. Matrica nivoa rizika u ovom metodu sa preporuenom skalom rangiranja
Verovatnoa ucaja
pretnje (Pu)
Ucaj
Nizak (N) (10) Srednji (S) (50) Visok (V)(100)
V (1,0) N(10x1,0=10) S(50x1,0=50) V(100x1,0=100)
S (0,5) N(10x0,5=5) S(50x0,5=25) V(100x0,5=50)
N (0.1) N(10x0,1=1) S(50x0,1=5) V(100x0,1=10)
Rangiranje rizika: V (>50100); S (>1050); N (110)
Metod procene verovatnoe ostvarenja i moguih posledica
Kvaj metod odreuje posledice incidenata i prioritet pojedinih resursa.
Tok procesa metoda se sastoji od tri koraka:
Dodeljuje se vrednost (A) svakoj informacionoj imovini, na bazi potencijalnog
ucaja u sluaju realizacije neke prijetnje incidenta (Tp). Za svaku A na koju je
primenljiva neka T, pripisuje se vrednost A.
Procenjuje se verovatnoa ostvarenja pretnje za neku ranjivost ucaj (U). Ta
verovatnoa predstavlja kombinaciju (zbir/proizvod) mogunos pojave pretnje
(Tp) i lakoe iskoritavanja ranjivos (V):
U = f(V,T)=V + Tp ili U= VxTp
Tabela P11.4. Procene verovatnoe ucaja (ostvarenja pretnje) U
Tp (pretnja) 0 1 2
V (ranjiv) 0 1 2 0 1 2 0 1 2
U (incid.) 0 1 2 0 1 2 0 1 2
368
KO FOJ
Teite je na ucaju incidenta U i donoenju odluke kojom sistemu treba da prioritet
zate. Procenjuju se dve vrednos za svaku A i R (rizik), ija kombinacija daje vrednost
za svaku A.
Rizik se procjenjuje kao kombinacija vrednos A i verovatnoe (pretnje) ucaja U:
R = f (A ,U) = A +(V + Tp)= A+U
Rangiranje vrednos za esmaciju rizika (ISO/IEC 133353):
A: 0 (niska), 1 (znaajna), 2 (srednja), 3 (visoka), 4 (vrlo velika)
Tp: 0 (niska), 1 (srednja), 2 (visoka)
V: 0 (niska), 1 (srednja), 2 (visoka)
Tabela P11.5. Matrica za procenu rizika
A
U
0 1 2 3 4
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
Vrednost u elijama matrice (A/U) se moe koris za diferenciranje izmeu de-
lova imovine A koji ine sistem. Kada se sumiraju svi rezulta za pojedinanu imovinu
sistema, dobije se A sistema. Kvo se moe iskoris za diferenciranje izmeu sistema i
donoenje odluke kojem sistemu da prioritet zate. Primer: (sve vrednos su sluajne,
koriste se Tabele 1.1 i 1.2): neka sistem S ima: tri imovine A1, A2 i A3 i dve pretnje T1 i T2
primenljive na sistem S; neka je A1=3, A2=2, A3=4; neka je verovatnoa ucaja za A1, T1
= N (0), a verovatnoa iskorienja ranjivos (V)=S (1), tada je vrednost verovatnoe u-
caja U=1 (Tabela 1.1). Rezultat kombinacije A1/T1 moe se derivira iz Tabele 1.2, kao
presek vrednos imovine A1=3 i vrednos verovatnoe ucaja U=1, tj. vrednost nivoa
rizika = 4. Za A1/T2 neka je verovatnoa pretnje T2= S (1), a mogunost iskorienja
ranjivos (V) = V (2) , bie (Tabela 1.1) U=3, iz Tabele 7.2 vrednost nivoa rizika je 6. Sada
se moe rauna totalni skor imovine A1/T, tj. T=T1+T2, koji iznosi 10. Kvaj totalni skor
imovine rauna se za svaku posebnu imovinu i primenljivu pretnju. Totalni skor sistema
(ST) rauna se sumiranjem A1T+A2T+A3T=ST. Sada se razlii sistemi mogu uporedi
i uspostavi prioritet zate, kao i zate razliite A u jednom sistemu. Kva analiza je
primenjena za IKT sistem, ali moe i za poslovne procese.
369
PO
Metod disnkcije izmeu prihvatljivog i neprihvatljivog rizika (HESTIA)
Kdreuje se u kojem je sluaju hitno potrebno reagova na rizik, a kada se treranje
rizika ne mora obavi odmah. Prema ovoj metodi rizik moe bi:
prihvatljiv (P) ili
neprihvatljiv (N).
Metoda odvajanja prihvatljivih i neprihvatljivih rizika predstavlja u stvari varijaciju me-
tode tri procena verovatnos pretnji moguih posljedica (ucaja) ili metode 1 (mat-
rica predenisanih vrednos). U ovom pristupu faktor rizika Ri je:
Ri=A x Pu (vrednost imovine x verovatnoa ucaja)
Matrica prihvatljivih i neprihvatljivih rizika za esmaciju faktora rizika prema matrici 5x5
(1 do 5) sa rangiranjem A i Pu: 1 - nizak, 2 - znaajan, 3 - srednji, 4 - srednje visok i 5 -
visok, prikazana je u Tabeli P11.6.
Tabela P11.6 Matrica prihvatljivih i neprihvatljivih rizika
A
Pu
1 2 3 4 5
1 1 2 3 4 5
2 2 4 6 8 10
3 3 6 9 12 15
4 4 8 12 16 20
5 5 10 15 20 25
Procena rizika koris se samo za rangiranje faktora rizika prema nivou tetnog ucaja,
tako da se moe odlui za koje se faktore rizika moraju primeni hitne akcije, koji se
mogu ublai sa manje rada i trokova, a koji se moraju samo pra (monitorisa).
Liniju izmeu prihvatljivog i neprihvatljivog rizika povlai vlasnik/menader sistema. U
navedenom primeru prihvatljivi rizici (grupe rizika) su do nivoa 4; moraju se monitorisa
i sukscesivno trera, svi rizici u opsegu 4 15; rizici u opsegu 15 16 su znaajni i treba
ih planski trera, a rizici u opsegu 20 25 su krini i treba ih hitno trera.
370
KO FOJ
PRILOG 12.
KONTROLNA LISTA PROCESA IMPLEMENTACIJE POLITIKE I
PROCEDURA ZATITE
Tabela P12.1. Kontrolna (ek) lista procesa implementacije polike i procedura zate
Kontrolna lista pitanja DA NE
Da li je od celokupne upravne strukture dobijena potpuna podrka za razvoj poli-
ke, standarda, uputstava i procedura zate?

Da li je upravna struktura pokazala da je zaista ozbiljna u pogledu znaaja po-
dataka i informacija kao dragocenih objekata imovine organizacije i da potpuno
veruje u program zate, kojeg je autorizovala, na odgovarajui nain prezen-
rala svim zaposlenim i odobrila (naredila) implementaciju?

Da li je obezbeeno da sve kompetentne org. jedinice organizacije uestvuju u
razvoju i realizaciji polike zate, svesno i sa oseanjem vlaste odgovornos,
da bi se reducirale prepreke i nerazumevanja? (IS, nadzor i kontrola, upravljanje
rizikom, pravna i kadrovska pitanja, kljune korisnike organizacije su grupe koje
treba ukljui).

Da li su razmatrani faktori realne kulture i ekih principa organizacije kao i drugi
jedinstveni zahtevi u razvoju polike, standarda, uputstava i procedura zate?

Da li su obezbeeni uslovi za propisnu implementaciju rezultata procesa analize
rizika paralelno sa razvojem polike, standarda, uputstava i procedura zate?

Da li je upravna struktura preduzela korake da svi zaposleni budu svesni aktuelne
promocije i implementacije polike, standarda, uputstava i procedura zate?

Da li je u svakoj org. jedinica postavljen (imenovan, zaduen) predstavnik ili koor-
dinator zate podataka i informacija?

Da li je planirana obuka za sve kategorije zaposlenih radi podizanje sves o
potrebi i upoznavanja sa elemenma polike, standarda, uputstava i procedura
zate, posebno sa specinim dunosma i odgovornosma u oblas zate?

Postoji li konnualno auriranje polike, standarda, uputstava i procedura zate,
da bi se obezbedila implementacija novih revidiranih zahteva organizacije?

Da li se u cilju odravanja i auriranja sves o potrebi zate redovno odravaju
odgovarajui sastanci, publikuju broure, posteri, objavljuju radovi u internim
asopisima?

Da li su specian pojedinac ili grupa zadueni za implementaciju Programa
zate organizacije?

Odlukom Senata Univerziteta Singidunum, Beogrd, broj 636/08 od 12.06.2008, ovaj
udbenik je odobren kao osnovno nastavno sredstvo na studijskim programima koji se
realizuju na integrisanim studijama Univerziteta Singidunum.
CIP -
,
007:004.056(075.8)
, , 1952-
Osnove zatite informacija :
metodoloko-tehnoloke osnove / Milan
Milosavljevi, Gojko Grubor. - Beograd :
#Univerzitet #Singidunum, 2010 (Loznica :
Mladost grup). - XIX, 370 str. : ilustr. ; 24
cm
Tira 300. - Bibliografja: str. 330-333.
ISBN 978-86-7912-313-8
1. , , 1949- []
a) -
COBISS.SR-ID 180526604
2010.
Sva prava zadrana. Ni jedan deo ove publikacije ne moe biti reprodukovan u bilo kom
vidu i putem bilo kog medija, u delovima ili celini bez prethodne pismene saglasnosti
izdavaa.

US - Osnove Zaštosnove Zastite Informacija

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

US - Osnove Zaštosnove Zastite Informacija

Uploaded by

Copyright:

Available Formats

Gojko Grubor

Kontrole zate u izabranoj osnovnoj za koje obezbeuju adekvatno

Kombinacija kontrola zate u izabranoj osnovnoj za i kontekstu u

You might also like