Univerzitet Singidunum

Uputstvo za izradu
politike zatite
[Type the document subtitle]

Gojko Grubor
1/18/2009

SADRAJ
1

1.1
1.2
1.3
1.4
1.5

PRAKTINI PRINCIPI ZATITE ZA DIZAJNIRANJE POLITIKE ZATITE .............................................................. 1

VRSTE POLITIKA ZATITE ....................................................................................................................... 1
KRITERIJUMI ZA ODRAVANJA POLITIKE ZATITE ................................................................................. 1
ZNAAJ POLITIKA ZATITE ..................................................................................................................... 2
IDENTIFIKOVANJE SAOPTENJA (IZJAVA) POLITIKE ZATITE ................................................................. 2
TIPINA STRUKTURA SADRAJA POLITIKE ZATITE ............................................................................... 3
1.5.1
Struktura Programske politike zatite (na nivou organizacije) ..................................................... 3
1.5.1.1

1.5.2
1.5.2.1

1.6

Struktura sadraja programske politike zatite ........................................................................................ 3

Politike zatite na nivou IKT sistema ISMS politika .................................................................... 4

Struktura sadraja politike zatite na nivou IKT sistema: ......................................................................... 4

1.5.3
Politika zatite funkcionalne komponente zatite (Issue-Specific Policy) treba da: ..................... 4
USPOSTAVLJANJE KONTROLNOG OKVIRA ............................................................................................. 4
1.6.1
Sadraj kontrolnog okvira: ............................................................................................................ 4
1.6.2
Karakteristike kontrolnog okvira .................................................................................................. 5

PRAKTINI PRINCIPI ZATITE ZA DIZAJNIRANJE POLITIKE ZATITE

1.1

Jednostavnost Mehanizmi zatite i IKT sistem generalno treba da bude to je mogue

jednostavniji. Kompleksnost je koren mnogih bezbednosnih problema.
Bezbedne greke Ako se greka dogodi, IKT sistem treba da padne na bezbedan nain,
to znai, ako se greka dogodi, sistem zatite treba da ostane u funkciji, odnosno bolje
izgubiti funkcionalnost nego bezbednost.
Potpuna posrednost treba koristiti svuda indirektan pristup informacijama, preko
posrednika koji nameu politiku zatite. Primeri su kontrola pristupa, proxy web server,
autentifikacioni server, e-mail gateway.
Otvoreni dizajn sistem zatite ne treba da zavisi od tajni implementacije ili njegovih
komponenti. Bezbednost kroz tajnost ne moe biti efikasna.
Odvajanje privilegija funkcije, do najveeg mogueg stepena treba da budu izdeljene
(odvojene) i da obezbeuju to je mogue veu granularnost. Koncept treba primeniti i na
sisteme i operatere/korisnike. U sluaju korisnika/operatera uloge treba to jer mogue vie
odvojiti. Na primer ako resursi doputaju ulogu sistem administratora treba odvojiti od uloge
administratora zatite
Psiholoka korisnika prihvatljivost Korisnici treba da razumeju potrebu zatite. Ovo se
moe obezbediti kroz obuku. Pored toga, implementiran bezbednosni mehanizmi treba da
prue korisnicima oseaj korisnosti koju dnevno zahtevaju. Ako korisnici smatraju
mehanizme zatite suvinim optereenjem mogu nai nain da ih zaobiu i kompromituju.
Primer ovoga je korienje sluajnih pasvorda koji su vrlo jaki, ali teki za pamenje, pa ih
korisnici zapisuju ili trae nain da zaobiu ovu politiku.
Slojevita zatita organizacije moraju shvatiti da je svaki pojedinani bezbednosni
mehanizam generalno nedovoljan. Mehanizmi zatite treba da budu slojevito rasporeeni u
arhitekturi sistema zatite, tako da kompromitacija jednog ne ugroava host sistema ili
mreu.
Evidentiranje kompromitacija Kada su sistem i mrea kompromitovani, treba registrovati
ili evidentirati u log datoteku tu kompromitaciju. Ove informacije mogu pomoi u boljem
obezbeivanju kompromitovanog sistema, identifikacijom naina iskorienja ranjivosti od
strane napadaa, kao i za identifikaciju samog napadaa.

VRSTE POLITIKA ZATITE

Termin politika zatite ima vie znaenja od direktive organizacije na najviem nivou do specifinih
pravila zatite na nivou sistema zatite. Organizacije treba da imaju najmanje tri sledea tipa politika
zatite:

1.2

Program (Programsku politiku) na nivou organizacije

Politiku na nivou IKT sistema
Funkcionalnu politiku sistema/komponenti sistema IKT zatite

KRITERIJUMI ZA ODRAVANJA POLITIKE ZATITE

Sva tri tipa politika zatite treba da budu:

a) Dopunjavane: Poto politike mogu biti napisane na optem nivou, organizacije takoe treba
da razvijaju standarde, uputstva i procedure koje obezbeuju korisnicima, menaderima i
drugima u zatiti pristup za implementaciju politika i ispunjavanje organizacionih ciljeva.
Standardi, uputstva i procedure treba razdeliti po organizaciji preko Prirunika, Regulativa ili
Korisnika uputstva.
b) Vidljive (transparentne): Vidljivost pomae implementaciju politike na taj nain to pomae
da se obezbedi da politika u celini bude prenesena svim zaposlenim u organizaciji.

c) Podrane od strane menadmenta: Bez podrke menadmenta politika postaje samo prazan
indikator angaovanosti menadmenta u zatiti.
d) Konzistentne: Treba razmotriti i uskladiti sve druge direktive, zakone, kulturu organizacije,
uputstva, procedure i misiju organizacije.
e) Saoptenja (izjave) politike zatite: Opisuju vrlo optim izrazima kako neka organizacija bira
nain reavanja bezbednosnih pitanja i atributima razdvajaju ta je: prihvatljivo,
neprihvatljivo i neodgovarajue. Prihvatljivo je svako ponaanje ili dogaaj u sistemu koji
nije eksplicitno naveden da je neprihvatljiv ili neodgovarajui. Neprihvatljiva su stanja ili
postupci koje organizacija ne moe tolerisati. Neodgovarajue su situacije ili ponaanja koja
su neeljena, ali se moe pokazati da su neizbena. Izjave koje oznaavaju neprihvatljivo
ponaanje, znae obavezno izvravanje (mora-must), a izjave koje su namenjene za
spreavanje neprihvatljivog ponaanja/dogaanja, moraju se ispuniti u najboljoj moguoj
meri (treba - should). Ova jednostavna konvencija uvodi ogranienu fleksibilnost u politiku
zatite koja omoguava velikim organizacijama da fino podeavaju ove politike.

1.3

ZNAAJ POLITIKA ZATITE

a) Obezbeuju uputstva. Uputstva se odnose na to kako se odreene aktivnosti trebaju ili ne
trebaju izvriti. Razmatraju se brojna pitanja poznati rizici, legalni i regulatorni zahtevi,
kulturne vrednosti.
b) Formira osnovu za kontrolni okvir. Politike zatite su nedvosmislene i razumljive za kontrolni
okvir. Pretpostavlja se stabilnost u nekom vremenu. Kontrolni okvir je priznavanje injenice
da ne moemo analizirati posledice rutinskih akcija svaki put kada se one preduzmu.
Kontrolni okvir obezbeuje reenje ovog problema standardizacijom naina na koji se akcija
izvrava na bazi inicijalne analize. Tehnike analize rizika koriste se za merenje rizika u datom
vremenskom trenutku. Analiza rizika je ulaz u proces dizajniranja politike i moe se koristiti
svaki put za proveru da politike imaju smisla u posebnim okolnostima.
c) Definiu uloge i odgovornosti. Saoptenja politike zatite posebno su efikasan metod za
definisanje uloga i odgovornosti u datoj oblasti i esto se koriste za ovu namenu. Korienje
uloga i odgovornosti ima posebnu prednost jer koncept ne zavisi od organizacione strukture.
Ovo omoguava da se uloge mapiraju sa upravljakim pozicijama na fleksibilan nain. Ovo je
posebno korisno kada se vri reorganizacija. Ovde je kritino da se preklapanja i
meuzavisnosti izjava politika korektno kontroliu i da su proistekle uloge i odgovornosti
koherentne.
d) Dokumentuju stav organizacije u odnosu na odreeno pitanje zatite. Politike zatite
takoe dokumentuje naine na koje organizacija reava posebna pitanja. Razlozi mogu biti
posledice brojnih zahteva: usaglaenost sa regulativnim zahtevima, usaglaenost sa
standardima ISO/IEC 27001.

1.4

IDENTIFIKOVANJE SAOPTENJA (IZJAVA) POLITIKE ZATITE

U domenu zatite informacija nema vrstih i brzih pravila za definisanje obima politika zatite, a
uzorci izjava politika zatite na raspolaganju su na Internetu za irok krug pitanja (SANS Institut, NIST,
RUSecure i brojne druge institucije). Ova saoptenja politika zatite su dobra inspiracija i pomo
svakom profesionalcu u zatiti, ali su sve to autorski radovi i intelektualna svojina i nije lako do njih
doi. Dobar metodoloki postupak za izradu saoptenja konkretne politike zatite obezbeen je
definisanjem strukture zajednikih i specifinih elemenata politika zatite:
Struktura politika zatite bitna je za standardizovanu izradu i implementaciju politika zatite, a zavisi
od kulture i veliine organizacije. Za manje organizacije odgovara jednostavnija politika zatite, a za
vee mnogo usmerenija saoptenja politike zatite i vie restrikcija. Generalno, bolje je imati vie
politika zatite na razliitim nivoima nego jednu fokusiranu i kratku, ali je teko izbei preklapanja i
ponavljanja. Jedinstvena politika zatite za veliku organizaciju moe biti neprihvatljivo velik

dokument. Zato je kljuno pitanje kako struktuirati dokument politike zatite. Sve pomenute vrste
politika zatite treba da imaju optu, generiku strukturu:

1.5

TIPINA STRUKTURA SADRAJA POLITIKE ZATITE

Red. broj

...

Naslov

...

Autor

...

Verzija

...

Datum

...

Amandmani

...

Namena: ciljna grupa za koju je dokument namenjen.

1.
2.
3.
4.
5.
6.

(... kontrolni podaci dokumenta)

Uvod: kratak uvod u izjave politike zatite sa objanjenjem konteksta sistema zatite.
Struktura i obim: opis obima politike i pogled strukture dokumenta.
Bezbednosni cilj: navesti sve bezbednosne ciljeve po pretpostavljenim prioritetima...
....
....
....

n. Renik termina: kljune rei koriene u dokumentu

n+1. Odobrava: poslednja stranica koja se dodaje, a koju potpisuje akreditacioni autoritet.
Struktura dokumenata politika zatite na razliitim nivoima razlikuju se meusobno od 3. take.
1.5.1 Struktura Programske politike zatite (na nivou organizacije)
Program (Programska politika zatite) neke organizacije treba da:
1.
2.
3.
4.

Kreira i definie Program zatite IKT sistema.

Postavi strategijske pravce organizacije
Pripisivanje odgovornosti
Obuhvata pitanja usaglaenosti:

a. ispunjavanje zahteva za uspostavljanje programa i odgovornosti u razliitim jedinicama

organizacije i
b. korienje specifinih sankcija i disciplinskih mera i akcija za neusklaenost.
1.5.1.1 Struktura sadraja programske politike zatite
(Tipina struktura politike zatite: 1....3)
1. Izjava upravne strukture: saoptenje o angaovanju izvrnog rukovodstva u zatiti.
2. Zajednike odgovornosti: najvanije odgovornosti za sve zaposlene u organizacije i spoljne
provajdere usluga poreane po bulitima.
3. Odgovornosti glavne uprave: sumarna odgovornost upravne strukture (najvanija - da
obezbede da svi zaposleni budu svesni potrebe ove politike zatite).
4. Odgovornost TTPS: sumarna odgovornosti koje se primenjuju na spoljna lica.
5. Druga dokumentacija: objanjavanje hijerarhije dokumenata zatite i znaaj standarda i
uputstava.
6. Kontakti: lista vanih kontakata, gde se referenciraju autoriteti, a ne imena.
7. Politika autorskog prava: opis zahteva za dobrovoljno ustupanje autorskih prava na
dokument.

1.5.2 Politike zatite na nivou IKT sistema ISMS politika

Ovo su specifine politike sistema za upravljanje zatitom (System-Specific Policy) koje treba da:
1. Usmere panju na odluke
2. Variraju od sistema do sistema
3. Budu izraene (saoptene) kao pravila
1.5.2.1 Struktura sadraja politike zatite na nivou IKT sistema:
(Tipina struktura politike zatite: 1...3)
4. Uloge i odgovornosti
detaljne uloge i odgovornosti za bezbednost IKT sistema.
5. Fizika zatita IKT sistema
saoptenje o fizikoj zatiti objekata sistema, raunarske i serverske sobe.
6. Upotreba kriptografije
saoptenje se odnosi na korienje mehanizama kriptozatite, specijalne opreme,
algoritama i protokola.
7. Autentifikacija
zahtevi za autentifikaciju , za razliite kontekste interne konekcije, udaljeni pristup,
kontrole mrenog pristupa, Internet veze i dr.
8. Autorizacija i kontrola pristupa
saoptenje se odnosi na uputstvo kako se vri autorizacija (kriterijumi, model) i kontrola
pristupa objektima sistema.
9. Zatita poverljivosti
saoptenje navodi koji objekti informacija i podataka na radnim stanicama, serverima i
mrei sistema zahtevaju zatitu poverljivosti.
10. Zatita integriteta
saoptenje navodi koji objekti informacija i podataka na radnim stanicama, serverima i
mrei sistema zahtevaju zatitu integriteta.
11. Zatita raspoloivosti
saoptenje navodi koji objekti informacija i podataka na radnim stanicama, serverima i
mrei sistema zahtevaju zatitu raspoloivosti.
12. Logovanje i kontrolni tragovi
saoptenje navodi konfiguraciju, nain i obavezu monitorisanja log sistema.
13. Upravljanje kompjuterskim incidentom
saoptenje navodi kako detektovati napad i upravljati incidentima i alarmima.sa
definicijama o ozbiljnosti i verovatnoom pojave incidenata i odgovorom na incident.
14. Druga razmatranja
kako politiku treba interpretirati
Napomena: Zavisno od IKT sistema i zahteva organizacije mogu se obuhvatiti i druge komponente
programa zatite, na primer: personalna zatita, sertifikacija i akreditacija
1.5.3 Politika zatite funkcionalne komponente zatite (Issue-Specific Policy) treba da:
Funkcionalna politika zatite (Issue-Specific Policy) treba da:
1. Obuhvati specifine oblasti;
2. Bude esto aurirana;
3. Sadre saoptenje o obuhvaenom pitanju.

1.6

USPOSTAVLJANJE KONTROLNOG OKVIRA

1.6.1 Sadraj kontrolnog okvira:

a) primenjeni standardi,
b) saoptenja politika zatite,
4

c) procedure zatite,
d) radna dokumenta (tabele, tok procesa, kontrolne liste i dr.) i
e) implementirane tehnike kontrole koje obezbeuju dnevni operativni rad sistema.
Karakteristike kontrolnog okvira
za veinu organizacija kontrolni okvir zavisi od spoljnih partnera (TTPS)
organizacije koje same koriste tehnologije zatite tee upravljaju kontrolnim okvirom,
upravljan politikom zatite
sporo promenljiva komponenta procesa zatite,
menja se na osnovu rezultata izvravanja strategijskih inicijativa,
mera u kojoj odgovora dnevnim potrebama je pokazatelj zrelosti organizacije
kako procesi organizacije postaju zreliji, zamenjuje se procenom rizika,
upravljanje rizikom je dinamiki promenljiva strana procesa zatite,
upravljanje rizikom ukazuje na sposobnost organizacije da brzo reaguje na promene u
okruenju (Slika 1.1)
Pomeranje od okvira upravljanog politikom
prema okviru upravljanim rizikom

1.6.2

Politika

De

fini

e
Upravljaki okvir:
- Standardi
- Uputstva
- Tehnike kontrole

ra

fini

Ra
Procena
rizika

De

fin

ie
Upravljaki okvir:
- Taktika reenja

Slika 1.1 Uticaj sazrevanja procesa zatite na pomeranje kontrolnog okvira upravljanog politikom zatite na upravljan
procenom rizika