Professional Documents
Culture Documents
Uputstvo Za Izradu Politike Zaštite PDF
Uputstvo Za Izradu Politike Zaštite PDF
Uputstvo za izradu
politike zatite
[Type the document subtitle]
Gojko Grubor
1/18/2009
SADRAJ
1
1.1
1.2
1.3
1.4
1.5
1.5.2
1.5.2.1
1.6
1.5.3
Politika zatite funkcionalne komponente zatite (Issue-Specific Policy) treba da: ..................... 4
USPOSTAVLJANJE KONTROLNOG OKVIRA ............................................................................................. 4
1.6.1
Sadraj kontrolnog okvira: ............................................................................................................ 4
1.6.2
Karakteristike kontrolnog okvira .................................................................................................. 5
1.1
Termin politika zatite ima vie znaenja od direktive organizacije na najviem nivou do specifinih
pravila zatite na nivou sistema zatite. Organizacije treba da imaju najmanje tri sledea tipa politika
zatite:
1.2
c) Podrane od strane menadmenta: Bez podrke menadmenta politika postaje samo prazan
indikator angaovanosti menadmenta u zatiti.
d) Konzistentne: Treba razmotriti i uskladiti sve druge direktive, zakone, kulturu organizacije,
uputstva, procedure i misiju organizacije.
e) Saoptenja (izjave) politike zatite: Opisuju vrlo optim izrazima kako neka organizacija bira
nain reavanja bezbednosnih pitanja i atributima razdvajaju ta je: prihvatljivo,
neprihvatljivo i neodgovarajue. Prihvatljivo je svako ponaanje ili dogaaj u sistemu koji
nije eksplicitno naveden da je neprihvatljiv ili neodgovarajui. Neprihvatljiva su stanja ili
postupci koje organizacija ne moe tolerisati. Neodgovarajue su situacije ili ponaanja koja
su neeljena, ali se moe pokazati da su neizbena. Izjave koje oznaavaju neprihvatljivo
ponaanje, znae obavezno izvravanje (mora-must), a izjave koje su namenjene za
spreavanje neprihvatljivog ponaanja/dogaanja, moraju se ispuniti u najboljoj moguoj
meri (treba - should). Ova jednostavna konvencija uvodi ogranienu fleksibilnost u politiku
zatite koja omoguava velikim organizacijama da fino podeavaju ove politike.
1.3
1.4
U domenu zatite informacija nema vrstih i brzih pravila za definisanje obima politika zatite, a
uzorci izjava politika zatite na raspolaganju su na Internetu za irok krug pitanja (SANS Institut, NIST,
RUSecure i brojne druge institucije). Ova saoptenja politika zatite su dobra inspiracija i pomo
svakom profesionalcu u zatiti, ali su sve to autorski radovi i intelektualna svojina i nije lako do njih
doi. Dobar metodoloki postupak za izradu saoptenja konkretne politike zatite obezbeen je
definisanjem strukture zajednikih i specifinih elemenata politika zatite:
Struktura politika zatite bitna je za standardizovanu izradu i implementaciju politika zatite, a zavisi
od kulture i veliine organizacije. Za manje organizacije odgovara jednostavnija politika zatite, a za
vee mnogo usmerenija saoptenja politike zatite i vie restrikcija. Generalno, bolje je imati vie
politika zatite na razliitim nivoima nego jednu fokusiranu i kratku, ali je teko izbei preklapanja i
ponavljanja. Jedinstvena politika zatite za veliku organizaciju moe biti neprihvatljivo velik
dokument. Zato je kljuno pitanje kako struktuirati dokument politike zatite. Sve pomenute vrste
politika zatite treba da imaju optu, generiku strukturu:
1.5
Red. broj
...
Naslov
...
Autor
...
Verzija
...
Datum
...
Amandmani
...
Uvod: kratak uvod u izjave politike zatite sa objanjenjem konteksta sistema zatite.
Struktura i obim: opis obima politike i pogled strukture dokumenta.
Bezbednosni cilj: navesti sve bezbednosne ciljeve po pretpostavljenim prioritetima...
....
....
....
1.6
c) procedure zatite,
d) radna dokumenta (tabele, tok procesa, kontrolne liste i dr.) i
e) implementirane tehnike kontrole koje obezbeuju dnevni operativni rad sistema.
Karakteristike kontrolnog okvira
za veinu organizacija kontrolni okvir zavisi od spoljnih partnera (TTPS)
organizacije koje same koriste tehnologije zatite tee upravljaju kontrolnim okvirom,
upravljan politikom zatite
sporo promenljiva komponenta procesa zatite,
menja se na osnovu rezultata izvravanja strategijskih inicijativa,
mera u kojoj odgovora dnevnim potrebama je pokazatelj zrelosti organizacije
kako procesi organizacije postaju zreliji, zamenjuje se procenom rizika,
upravljanje rizikom je dinamiki promenljiva strana procesa zatite,
upravljanje rizikom ukazuje na sposobnost organizacije da brzo reaguje na promene u
okruenju (Slika 1.1)
Pomeranje od okvira upravljanog politikom
prema okviru upravljanim rizikom
1.6.2
Politika
De
fini
e
Upravljaki okvir:
- Standardi
- Uputstva
- Tehnike kontrole
ra
fini
Ra
Procena
rizika
De
fin
ie
Upravljaki okvir:
- Taktika reenja
Slika 1.1 Uticaj sazrevanja procesa zatite na pomeranje kontrolnog okvira upravljanog politikom zatite na upravljan
procenom rizika