Univerzitet u Beogradu

Fakultet organizacionih nauka

Laboratorija za elektonsko poslovanje

Primena standarda SRPS ISO/IEC 27001:2011 za

upravljanje informacionom bezbednou
Seminarski rad iz Elektronskog poslovanja

Nastavnik: Zorica Bogdanovi

Saradnik: Aleksandar Mili
Student:

Beograd, 2014.

Primena standrada za upravaljanje informacionom bezbednou

SADRAJ

1.
2.

UVOD....................................................................................................................4
Sigurnost informacija.........................................................................................5
2.1. Sigurnost informacija...................................................................................................5
2.2. Ocenjivanje rizika po sigurnosti...................................................................................6
2.3. Polazna taka u sigurnosti informacija.........................................................................7
2.4. Ktritini faktori uspeha.................................................................................................7
2.5. Izrada sopstvenih smernica i uputstava........................................................................8
2.6. Definicije..........................................................................................................................8
3. Kontrola pristupa..............................................................................................11
3.1. Upravljanje pristupom korisnika................................................................................11
3.2. Odgovornost korisnika...............................................................................................11
Korienje lozinke.............................................................................................................11
Nenadgledana korisnikova oprema...................................................................................12
Politika praznog stola i praznog ekrana............................................................................13
3.3. Kontrola pristupa na mrei.........................................................................................14
Politika korienja mrenih usluga...................................................................................14
Provera verodostojnosti korisnika za spoljne prikljuke..................................................15
Indetifikovanje opreme u mreama..................................................................................16
Zatita prikljuka za daljinsku dijagnostiku i konfigurisanje...........................................16
Razdvajanje u mreama....................................................................................................17
Kontrola povezivanja na mreu........................................................................................18
Kontrola preusmeravanja u mrei.....................................................................................18
3.4. Kontrola pristupa operativnom sistemu.....................................................................19
Procedure za sigurno prijavljivanje..................................................................................19
Indetifikovanje i utvrivanje verodostojnosti korisnika...................................................20
Sistem za upravljanje lozinkama......................................................................................21
Korienje pomonih funkcija sistema.............................................................................22
Vremensko ogranienje trajanja sesije..............................................................................22
Ogranienje trajanja povezivanja......................................................................................23
3.5. Kontrola pristupa aplikacijama i informacijama........................................................23
Ogranienje pristupa informacijama.................................................................................24
Izdvajanje osetljivih sistema.............................................................................................24
3.6. Mobilno raunarstvo i rad na udaljenosti...................................................................25
Mobilno raunarstvo i komunikacije................................................................................25
Rad na udaljenosti.............................................................................................................26
4. CASE STUDY.....................................................................................................29
4.1.Studija sluaja Fredrickson International........................................................29
4.2.Studija sluaja SVM Europe..............................................................................31
Zato sertifikacija?............................................................................................................32
Implementacija..................................................................................................................32
Koristi...............................................................................................................................33
2

Primena standrada za upravaljanje informacionom bezbednou

5.
6.

Zakljuak............................................................................................................34
Literatura............................................................................................................35

Primena standrada za upravaljanje informacionom bezbednou

1. UVOD
Informacije predstavljaju jedan od najvanijih poslovnih resursa u savremenom
poslovanju. Informacija predstavlja podatak sa odreenim znaenjem, moe biti
tampana ili napisana na papiru, memorisana elektronski, prenesena potom ili
elektronskim putem, prikazana na korporacijskom web sajtu, verbalna - izgovorena u
konverzaciji, ili u vidu znanja - kao vetine zaposlenih. Informacije moraju biti
adekvatno zatiene, bez obzira u kom obliku se uvaju.
Sigurnost informacija se ostvaruje uvoenjem pogodnog skupa kontrola, koje mogu
biti politika, praksa, procedure, organizacione strukture i softverske funkcije.
Sigurnosne mere ukljuuju mehanizme i procedure koje se implementiraju u cilju
odvaranja, prevencije, detekcije i opravke od uticaja od incidentnih dogaaja a koji
deluju na poverljivost, celovitost i raspoloivost podataka i odgovarajuih servisa i
resursa, ukljuujui izvetavanje o sigurnosnim incidentima. Sigurnost informacija je
ustvari proces upavljanja rizikom. Upravljanje rizicima treba da bude stalan i
kontinuiran proces poto su rizici sami po sebi promenljivi, a sa druge strane stalno
se generiu novi kao odraz promenljivog okruenja u kome organizacija ostvaruje
svoju misiju. To znai da je neophodno da se periodino preispituju rizici, kao i
pretnje i slabosti informacionih resursa. Ovo je upravo ono na emu se bazira
menadzment za sigurnost informacija - ISMS.
ISO/IEC 27001 je deo rastue ISO/IEC 27000 serije standarda, a nastao je na
osnovu standarda BS 7799 (British Standards). Objavljen je u oktobru 2005. od
strane meunarodne organizacije za standardizaciju (ISO) i meunarodne
elektrotehnicke komisije (IEC). Pun naziv je ISO/IEC 27001:2005 - Informaciona
tehnologija Sigurnosne tehnike - Sistemi upravljanja informacione sigurnosti Zahtevi, ali je obino poznat kao "ISO 27001". Namenjen je da se koristi zajedno sa
ISO/IEC 27002 (Kodeks prakse za informisanje uprave bezbednosti), koji izlistava
listu sigurnosnih kontrolnih ciljeva i preporuuje niz specifinih bezbednosnih
kontrola. Ovaj standard propisuje zahteve za ustanovljavanje, implementaciju,
kontrolu i unapreenje ISMS-a, sistema za upravljanje bezbednou informacija.
Standard je primenjiv na sve vrste organizacija (komercijalne, neprofitne, dravne
institucije, itd.) i sve veliine organizacija, od malih pa do velikih svetskih
organizacija.
Standard ISO/IEC 27001 se sastoji od 5 delova i to od:
1. Sistem za zatitu informacija,
2. Odgovornost rukovodeih ljudi,
3. Unutranje provere sistema za zatitu informacija,
4. Provera valjanosti sistema za zatitu informacija,
5. Poboljanja na sistemu za zatitu informacija.

Primena standrada za upravaljanje informacionom bezbednou

2. Informacije
Informacije predstavljaju odreenu imovinu koja je, kao i druga vana poslovna
imovina, od sutinskog znaaja za poslovanje neke organizacije i stoga je potrebno
da se ona odgovarajue zatiti. Ovo je posebno vano u rastuem uzajamno
povezanom poslovnom okruenju. Kao rezultat ove rastue uzajamne povezanosti,
informacije su sada izloene rastuem broju i irem mnotvu pretnji i ranjivosti (videti
takoe Smernice OECD-a za sigurnost informacionih sistema i mrea).
Informacije mogu postojati u mnogo oblika. One mogu biti odtampane ili ispisane na
papiru, uskladitene u elektronskom obliku, mogu se slati potom ili primenom
elektronskih sredstava, prikazati na filmovima ili izrei u razgovoru. Bilo koji oblik da
informacije imaju, ili sredstva preko kojih se one zajedniki koriste ili na kojima se
uvaju, one uvek treba da budu odgovarajue zatiene.
Sigurnost informacija predstavlja zatitu od irokog opsega pretnji kako bi se
osigurao kontinuitet poslovanja, rizik u poslovanju sveo na najmanju moguu meru i
uveao prihod od investicija i povoljnih poslovnih prilika.
Sigurnost informacija se postie implementacijom pogodnog skupa i kontrola,
ukljuujui politike, procese, procedure, organizacione strukture, kao i softverske i
hardverske funkcije. Ove kontrole treba uspostaviti, implementirati, nadgledati,
preispitivati i poboljavati onda kada je to neophodno, kako bi se u organizaciji
osiguralo ispunjavanje specifinih sigurnosnih i poslovnih ciljeva. Ovo treba raditi u
sprezi sa drugim procesima upravljanja poslovanjem.[5]

Slika 1. Informacije u organizaciji

Primena standrada za upravaljanje informacionom bezbednou

2.1. Sigurnost informacija

Informacije i procesi podrke, sistemi i mree predstavljaju vanu poslovnu imovinu.
Definisanje, ostvarivanje, odravanje i poboljavanje sigurnosti informacija mogu
imati presudni znaaj za odranje na granici konkurentnosti, gotovinskih tokova,
isplativosti, pravne usklaenosti i poslovnog ugleda.
Organizacije i njihovi informacioni sistemi i mree suoavaju se sa pretnjama po
sigurnost iz irokog opsega izvora, ukljuujui prevare uz korienje raunara,
pijuniranje, sabotae, vandalizme, poare ili poplave. Uzroci tete, kao to su
maliciozni kod, provaljivanje u raunare i otkaz usluga, postali su ei, ambiciozniji i
usavreniji.
Sigurnost informacija podjednako je vana za poslovanje u javnom i u privatnom
sektoru, kao i za zatitu kritinih infrastruktura. U oba sektora, sigurnost informacija
funkcionie kao mehanizam koji omoguuje npr. da se ostvari elektronska uprava ili
elektronsko poslovanje, a da se izbegnu ili umanje odgovarajui rizici. Meusobno
povezivanje javnih i privatnih mrea i zajedniko korienje informacionih resursa
oteava ostvarivanje kontrole pristupa.
Trend ka distribuiranom radu raunara oslabio je i efikasnost centralne,
specijalizovane kontrole.
Mnogi informacioni sistemi nisu projektovani tako da budu sigurni. Sigurnost koja se
moe ostvariti tehnikim sredstvima je ograniena i treba da bude podrana
odgovarajuim upravljanjem i procedurama. Identifikovanje kontrola koje treba
postaviti zahteva paljivo planiranje i obraanje panje na detalje. Za upravljanje
sigurnou informacija kao minimum se zahteva uee svih zaposlenih u
organizaciji. To moe takoe zahtevati uee deoniara, isporuilaca, treih strana,
korisnika ili drugih spoljnih strana. Takoe mogu biti potrebni saveti specijalista
eksternih strana. [2]

Slika 2. Sigurnost informacija

Primena standrada za upravaljanje informacionom bezbednou

Uspostavljanje zahteva za sigurnost

Sutinsko je da organizacija identifikuje svoje zahteve za sigurnost. Postoje tri glavna
izvora zahteva za sigurnost.
1.Prvi izvor se dobija na osnovu ocenjivanja rizika po organizaciju, uzimajui u obzir
ukupnu poslovnu strategiju i ciljeve organizacije. Kroz ocenjivanje rizika identifikuju
se pretnje po imovinu, vrednuju se ranjivost i verovatnoa njihovog pojavljivanja i
predviaju se mogue posledice.
2.Drugi izvor ine zakonski, statutarni, propisani i ugovorni zahtevi koje neka
organizacija, njeni trgovinski partneri, ugovarai i davaoci usluga moraju da
zadovolje, kao i njihovo socijalno-kulturno okruenje.
3.Sledei izvor ini poseban skup principa, ciljeva i poslovnih zahteva za obradu
informacija koje je neka organizacija razvila za podrku svom radu.

2.2. Ocenjivanje rizika po sigurnosti

Zahtevi za sigurnost identifikuju se metodikim ocenjivanjem rizika po sigurnost.
Trokovi kontrola treba da su u ravnotei sa tetom u poslovanju koja bi mogla
nastati kao rezultat otkaza sigurnosti. [2]
Rezultati ocenjivanja rizika pomoi e u voenju i utvrivanju odgovarajue akcije
menadmenta i prioritete kod upravljanja rizicima po sigurnost informacija, kao i za
implementaciju kontrola izabranih da bi titile od tih rizika.
Ocenjivanje rizika potrebno je ponavljati periodino kako bi se obuhvatile izmene koje
bi mogle uticati na rezultate ocenjivanja rizika.
Kada su zahtevi za sigurnost i rizici identifikovani, kao i kada su donete odluke o
postupanju sa rizicima, treba odabrati i implementirati odgovarajue kontrole kako bi
se osiguralo da se rizici smanje na prihvatljiv nivo. Kontrole se mogu odabrati na
osnovu ovog standarda ili iz drugih skupova kontrola, ili se mogu projektovati nove
kontrole kao odgovarajue da bi se zadovoljile specifine potrebe. Izbor sigurnosnih
kontrola zavisi od odluka same organizacije zasnovanim na kriterijumima za
prihvatljivost rizika, opcijama postupanja sa rizicima, kao i na optem pristupu
upravljanju rizicima koji organizacija primenjuje, a treba takoe da podlee svim
odgovarajuim nacionalnim i meunarodnim zakonima ili propisima.
Neke od kontrola iz ovog standarda mogu se kod upravljanja zatitom informacija
smatrati za vodee principe upravljanja sigurnou i kao primenljive u veini
organizacija. One su detaljnije objanjene u daljem tekstu pod naslovom "Polazna
taka u sigurnositi informacija".

2.3. Polazna taka u sigurnosti informacija

Mnoge od kontrola mogu se smatrati dobrom polaznom takom za implementaciju
sigurnosti informacija. One se zasnivaju ili na sutinskim pravnim zahtevima ili se
smatraju za ustaljenu praksu u sigurnosti informacija.
7

Primena standrada za upravaljanje informacionom bezbednou

Kontrole koje se smatraju sutinskim za neku organizaciju sa zakonske take

gledita obuhvataju, u zavisnosti od primenljivih zakona: [2]
a) zatitu podataka i tajnost informacija o linosti;
b) zatitu zapisa organizacije;
c) zatitu prava intelektualne svojine;
Kontrole koje se smatraju uobiajenom praksom u sigurnosti informacija obuhvataju:
a) dokument o politici sigurnosti informacija;
b) raspodelu odgovornosti za sigurnost informacija;
c) upoznavanje, obrazovanje i obuku o sigurnosti informacija;
d) ispravnu obradu u aplikacijama;
e) menadment tehnikom ranjivou;
f) upravljanje kontinuitetom poslovanja;
g) upravljanje pri incidentima naruavanja sigurnosti i poboljanjima.
Ove kontrole se odnose na veinu organizacija i na veinu okruenja.
Treba napomenuti da, iako su sve kontrole iz ovog standarda vane i treba ih uzeti u
obzir, relevantnost svake kontrole treba utvrditi u svetlu specifinih rizika sa kojima se
neka organizacija suoava. Otuda, iako se navedeni pristup smatra za dobru polaznu
taku, on ne moe zameniti izbor kontrola zasnovanih na ocenjivanju rizika.

2.4. Kritini faktori uspeha

Iskustvo je pokazalo da su za uspenu implementaciju sigurnosti informacija unutar
neke organizacije esto kritini sledei inioci:
a) politika sigurnosti informacija, ciljevi i aktivnosti koje odraavaju poslovne ciljeve;
b) pristup i okvir implementacije, odravanja, nadgledanja i unapreivanja sigurnosti
koji je dosledan sa kulturom u organizaciji;
c) vidljiva podrka i obavezivanje na svim nivoima rukovoenja;
d) dobro razumevanje zahteva za sigurnost informacija, ocenjivanje rizika i
upravljanje rizicima;
e) efikasna promocija sigurnosti informacija kod svih rukovodilaca, zaposlenih i
ostalih uesnika radi adekvatne informisanosti;
f) distribucija smernica politike sigurnosti informacija i standarda svim
rukovodiocima, zaposlenima i ostalim uesnicima;
g) obezbeenje sredstava za aktivnosti upravljanja sigurnou informacija;
h) obezbeivanje odgovarajuih poznavanja, kolovanja i obuke;
i) uspostavljanje efikasnog procesa upravljanja pri incidentima naruavanja
sigurnosti informacija;
j) implementacija sistema merenja1) koji se koristi za vrednovanje uinka u
upravljanju sigurnou informacija i povratni predlozi za poboljanje.

Primena standrada za upravaljanje informacionom bezbednou

2.5. Izrada sopstvenih smernica i uputstava

Ova pravila prakse mogu se smatrati polaznom takom za izradu specifinih
uputstava za neku organizaciju. Ne moraju sve smernice i kontrole iz ovih pravila
prakse biti primenljive. Pored toga, mogu biti potrebne dodatne kontrole koje nisu
obuhvaene ovim standardom. Prilikom izrade dokumenata koji sadre dodatne
smernice ili kontrole, moe biti korisno da se, onda kada je to potrebno, ukljue
uporedne liste taaka iz ovog standarda kako bi se olakala provera usklaenosti
koju sprovode proveravai i poslovni partneri.

2.6. Definicije [3]

Za potrebe ovog dokumenta koriste se odreeni pojmovi i njihove defincije. Ovde su
date neke od njih:
Imovina (sredstvo)
Sve ono to za odreenu organizaciju ima neku vrednost
[ISO / IEC 13335-1:2004]
Raspoloivost (availability)
Svojstvo dostupnosti upotrebljivosti na zahtev ovlaenog entiteta
[IS/IEC 13335-1:2004]
Poverljivost (confidentiality)
Svojstvo da informacija ne biti dostupna ili obelodanjena neovlaenim
osobama, entitetima ili procesima
[IS/IEC 13335-1:2004]
Bezbednost informacija (information security)
Ouvanje poverljivosti integriteta i raspoloivosti informacija; osim toga, mogu biti
obuhvaena I druga svojstva kao to su verodostojnost, nadlenost, neporecivost i
pouzdanost
[IS/IEC 17799:2005]
Dogaaj u vezi sa bezbednou informacija (information security event)
Identifikovana pojava u sistemu, usluzi ili stanju na mrezi koja ukazuje na mogue
naruavanja politike bezbednosti informacija ili na otkaz zatite ili situacije koja
predhodno nije bila poznata I koja se moe odnositi na bezbednost
[IS/IEC TR 18044:2004]
Incident naruavanja bezbednosti informacija (information security incident)
Jedan ili niz neeljenih ili neoekivanih dogaaja u vezi sad bezbednou informacija
za koje postoje znatni izgledi da e kompromitovati poslovne aktivnosti i zapretiti
bezbednosti informacija
[IS/IEC TR 18044:2004]
System menadmenta
management system)
ISMS

bezbednou

informacija

(information

security

Primena standrada za upravaljanje informacionom bezbednou

Deo ukupnog sistema menadmenta, koji se zasniva na pristup poslovnom riziku, za

uspostavljanje,implementiranje, primenjivanje, praenje, preispitivanje, odravanje i
poboljavanje bezbednosti informacija.
Integritet (integrity)
Celokupnost svojstvo zatite i kompletnosti imovine.
[IS/IEC 13335-1:2004]
Preostali rizici (residual risk)
Rizik koje ostaje nakon postupanja sa rizikom
[IS/IEC Guide 73:2002]
Prihvatanje rizika (risk acceptance)
Odluka da se prihvati rizik
[IS/IEC Guide 73:2002]
Analiza rizika (risk analysis)
Sistemsko korienje informacija da bi se identifikovali izvori I procenio rizik
[IS/IEC Guide 73:2002]
Ocenjivanje rizika (risk assessment)
Sveobuhvatni process analize I vrednovanje rizika
[IS/IEC Guide 73:2002]
Vrednovanje rizika (risk evaluation)
Process uporeivanja procenjenog rizika u odnosu na kriterijume rizika kako bi se
odradio znaaj tog rizika
[IS/IEC Guide 73:2002]
Menadment rizikom (risk management)
Koordisanje aktivnosti usmeravanja I kontrolisanje u nekoj organizaciji u vezi sa
rizicima
[IS/IEC Guide 73:2002]
Postupanje sa rizikom (risk treatment)
Process izbora I implementacije mera kako bi se rizik modifikovao
[IS/IEC Guide 73:2002]
Izjava o primenljivosti (statement of applicability)
Dokumentovana izjava koja opisuje ciljeve kontrola I kontrole koje su relevantne I
primenjive na ISMS organizacije.

10

Primena standrada za upravaljanje informacionom bezbednou

3. Kontrola pristupa
3.1. Upravljanje pristupom korisnika
Cilj je osiguranje pristupa ovlaenim korisnicima i spreavanje neovlaenog
pristupa informacionim sistemima. [3]
Treba da postoje formalne procedure za kontrolu dodele prava za pristup
informacionim sistemima i uslugama.
Ove procedure treba da obuhvate sve faze ivotnog ciklusa pristupa korisnika, od
polaznog registrovanja novih korisnika do zavrnog brisanja iz registra onih korisnika
kojima vie nije potreban pristup informacionim sistemima i uslugama. Posebnu
panju treba pokloniti, onda kada to odgovara, potrebi za kontrolisanjem dodele
prava na privilegovani (povlaeni) pristup, koja korisnicima omoguuju
prevladavanje sistemskih kontrola

3.2. Odgovornost korisnika

Cilj je spreiti pristup neovlaenih korisnika i kompromitovanje ili krau informacija i
sredstava za obradu informacija. [3]
Za efektivnu sigurnost osnovna je saradnja iz meu ovlaenih korisnika.
Korisnici treba da budu svesni svojih odgovornosti za odravanje efektivnosti
kontrola pristupa, posebno u pogledu korienja lozinki i sigurnosti korisnikovih
ureaja.
Da bi se smanjio rizik od neovlaenog pristupa, gubljenja ili oteenja papira,
medijuma i sredstava za obradu informacija, treba implementirati politiku praznog
stola i praznog ekrana.

Korienje lozinke
Kontrola
Prilikom izbora i korienja lozinki, od korisnika treba zahtevati da se pridravaju
dobrih praksi sigurnosti.
Smernice za implementaciju
Svim korisnicima treba savetovati da:
a) lozinke dre u tajnosti;
b) izbegavaju uvanje lozinki u pisanom obliku (npr. na papiru, u softverskoj datoteci
ili na ureajima koji se nose u ruci), osim ako se ovi mogu skladititi na siguran
nain, a metoda skladitenja je odobrena;

11

Primena standrada za upravaljanje informacionom bezbednou

c) zamenjuju lozinke uvek kada postoji

kompromitovanja sistema ili lozinke;

bilo kakav nagovetaj

mogueg

d) odaberu pouzdane lozinke dovoljne najmanje duine, koje se:

1) lako pamte;
2) nisu zasnovane na bilo emu to bi neko drugi mogao lako da pogodi ili da dobije
korienjem linih podataka osobe, npr. imena, telefonskih brojeva, datuma roenja
itd.;
3) koje nisu ranjive prema napadima pomou renika (tj. ne sastoje se od rei koje su
sadrane u renicima);
4) da u sebi ne sadre uzastopne identine iskljuivo brojane ili slovne znakove;
e) zamenjuju lozinke u pravilnim razmacima ili na osnovu broja pristupa (lozinke za
povlaene raune treba menjati ee od normalnih lozinki), kao i da izbegavaju
ponovno korienje ili ponavljanje starih lozinki;
f) zamenjuju privremene lozinke pri prvom prijavljivanju;
g) da lozinke ne stavljaju u bilo koji automatizovani postupak prijavljivanja, npr.
ubacivanjem pod makro ili funkcionu tipku;
h) da ne koriste zajedniki istu lozinku pojedinanog korisnika;
i) da ne koriste istu lozinku za poslovne i neposlovne namene.
Ako je korisnicima potrebno da pristupaju veem broju usluga, sistema ili platformi,
pa se od njih zahteva da imaju viestruke zasebne lozinke, treba ih savetovati da
mogu da koriste jedinstvenu, pouzdanu lozinku [videti prethodno pod d] za sve
usluge za koje je korisnik siguran da je unutar svake usluge, sistema ili platforme
uspostavljen razuman nivo zatite za skladitenje lozinke.
Ostale informacije
Upravljanje sistemom za pomo u pogledu izgubljenih ili zaboravljenih lozinki
zahteva posebnu panju, jer to takoe moe da bude sredstvo za napad na sistem
sa lozinkama.

Nenadgledana korisnikova oprema

Kontrola
Korisnici treba da osiguraju da oprema koja je bez nadzora ima odgovarajuu zatitu.
Smernice za implementaciju
Svi korisnici treba da budu upoznati sa zahtevima za sigurnost i procedurama za
zatitu ureaja koji su bez nadzora, kao i sa svojim odgovornostima za
implementaciju takve zatite. Korisnicima treba savetovati:
a) da po zavretku okonaju aktivne sesije (poslove), osim ako se one mogu
osigurati odgovarajuim mehanizmom zakljuavanja, npr. automatsko gaenje
ekrana zatieno lozinkom;
12

Primena standrada za upravaljanje informacionom bezbednou

b) da se po zavretku sesije (posla) odjave sa glavnih raunara, servera i

kancelarijskih linih (PC) raunara (tj. da nije dovoljno da samo iskljue napajanje
ekrana na PC ili terminalskom ureaju);
c) da line raunare (PC) ili terminalske ureaje, onda kada nisu u upotrebi,
osiguraju od neovlaenog korienja primenom bravice sa kljuem ili nekom
ekvivalentnom kontrolom, npr. pristupom pomou lozinke.
Ostale informacije
Kada se ureaji instalisani kod korisnika ostavljaju due vreme bez nadzora, npr.
radne stanice ili serveri sa datotekama, za njih se moe zahtevati posebna zatita od
neovlaenog pristupa.

Politika praznog stola i praznog ekrana

Kontrola
Za pokretne medijume za skladitenje i za papire treba usvojiti politiku praznog stola,
a za sredstava za obradu informacija politiku praznog ekrana.
Smernice za implementaciju
Politika praznog stola i praznog ekrana treba da uzme u obzir klasifikovanje
informacija, zakonske i ugovorne zahteve, kao i odgovarajue rizike i kulturne
aspekte u organizaciji. Treba uzeti u obzir sledee smernice:
a) osetljive ili kritine poslovne informacije, npr. na papiru ili na elektronskim
medijumima za skladitenje, onda kada se ne koriste treba zakljuavati (idealno u
sefu ili ormanu ili u drugim oblicima pouzdanog nametaja), posebno kada se
kancelarije isprazne;
b) raunare i terminalske ureaje, onda kada su bez nadzora treba ostavljati
odjavljene sa sistema i zatiene pomou mehanizma za zakljuavanja ekrana i
tastature koji se pokree pomou lozinke, etona (tokena) ili slinim mehanizmom
za proveru verodostojnosti korisnika, a onda kada nisu u upotrebi treba ih zatititi
pomou bravica sa kljuem, lozinki ili drugih kontrola;
c) treba zatititi mesta dolazne i odlazne pote i ureaje za faksimil koji se ne
nadgledaju;
d) treba spreiti neovlaeno korienje aparata za fotokopiranje i drugih sredstava
za reprodukovanje (npr. skenera, digitalnih kamera);
e) dokumente koji sadre osetljive ili klasifikovane informacije, posle tampanja treba
odmah ukloniti iz tampaa.
Ostale informacije
Politika praznog stola i praznog ekrana umanjuje rizike od neovlaenog pristupa,
gubljenja i oteenja informacija u toku i izvan normalnog radnog vremena. Sefovi ili
drugi oblici sigurnih sredstava za skladitenje mogu takoe da zatite sadrane
informacije od katastrofa, kao to su poar, zemljotres, poplava ili eksplozija.
Treba predvideti korienje tampaa sa funkcijom igliastog kodovanja, tako da
izvorni autori budu jedini koji mogu da dobiju odtampane stvari, pritom samo onda
kada stoje neposredno uz tampa
13

Primena standrada za upravaljanje informacionom bezbednou

3.3. Kontrola pristupa na mrei

Cilj je spreiti neovlaeni pristup mrenim uslugama.
Pristup uslugama treba kontrolisati i na internim i na eksternim mreama.
Da pristup korisnika na mreu i mrenim uslugama ne bi naruio sigurnost ovih
usluga, neophodno je obezbediti sledee:
a) odgovarajue interfejse (prelazne spojeve) izmeu sopstvene mree u organizaciji
i mrea iji su vlasnici druge organizacije, ili javnih mrea;
b) odgovarajue mehanizme za utvrivanje verodostojnosti korisnika i ureaja;
c) sprovoenje kontrole pristupa korisnika informacionim uslugama.

Politika korienja mrenih usluga

Kontrola
Korisnicima treba obezbediti direktan pristup samo onim uslugama za koje imaju
specifino ovlaenje za korienje.
Smernice za implementaciju
Treba formulisati politiku u pogledu korienja mrea i mrenih usluga. Ovom
politikom treba da bude obuhvaeno sledee:
a) mree i mrene usluge kojima je pristup dozvoljen;
b) procedure autorizacije radi utvrivanja kome je odobren pristup, kojoj mrei i kojim
uslugama;
c) postupci i procedure upravljanja za zatitu pristupa mrenim prikljucima i
uslugama;
d) sredstva koja se koriste za pristup mreama i mrenim uslugama (npr. uslovi za
dozvolu pristupa sa biranjem broja ka davaocu usluga na mrei Internet ili ka
udaljenom sistemu).
Ova politika korienja mrenih usluga treba da bude dosledna sa politikom kontrole
poslovnog pristupa.
Ostale informacije
Neovlaeni i nezatieni prikljuci na mrene usluge mogu imati posledice na celu
organizaciju. Ova kontrola je posebno vana kod mrenih prikljuaka na osetljive ili
kritine poslovne aplikacije ili za korisnike na mestima velikog rizika, npr. na javnim ili
spoljnim oblastima koje su izvan kontrole i upravljanja sigurnou u organizaciji.

Provera verodostojnosti korisnika za spoljne prikljuke

Kontrola

14

Primena standrada za upravaljanje informacionom bezbednou

U sluaju pristupa udaljenih korisnika treba odabrati odgovarajue metode za

utvrivanje verodostojnosti korisnika.
Smernice za implementaciju
Provera verodostojnosti udaljenih korisnika moe se ostvariti primenom, na primer
postupka na kriptografskoj osnovi, hardverskim etonima (tokenima), ili protokolom
sa upitom/odgovorom. Mogue implementacije takvih tehnika mogu se nai u raznim
reenjima za virtuelne privatne mree (VPN). Da bi se obezbedila sigurnost izvora
prikljuaka, mogu se takoe koristiti posebno dodeljeni privatni vodovi.
Zatita od neovlaenog i neeljenog prikljuivanja na sredstva za obradu informacija
u organizaciji moe da se obezbedi procedurama i kontrolama sa povratnim
pozivanjem, npr. korienjem modema sa povratnim biranjem. Ovim tipom kontrole
utvruje se verodostojnost korisnika koji pokuavaju da sa udaljenih lokacija
uspostave vezu sa mreom neke organizacije. Kada koristi ovu kontrolu, organizacija
ne bi trebalo da koristi usluge na mrei koje ukljuuju prosleivanje poziva ili, ako to
ine, treba da onemogue primenu takvih funkcija kako bi se izbegla slabljenja
zatite koja se vezuju uz prosleivanje poziva. Proces povratnog pozivanja treba da
osigura da se sprovede stvarno raskidanje veze na strani organizacije. U suprotnom,
udaljeni korisnik bi mogao da zadri vd otvoren, pravei se da je verifikovanje
povratnim pozivanjem uspelo. Procedure i kontrole u sluaju povratnog pozivanja
treba detaljno proveriti u pogledu ove mogunosti.
Kao alternativno sredstvo za proveru verodostojnosti grupa udaljenih korisnika, onda
kada su oni prikljueni na sigurna zajednika raunarska sredstva, moe sluiti
provera verodostojnosti u voritima. Za proveru verodostojnosti u voritima mogu
se koristiti kriptografske tehnike zasnovane, npr. na mainskim sertifikatima. Ovo je
deo nekoliko reenja koja se zasnivaju na virtuelnim privatnim mreama VPN.
Za kontrolu pristupa u beinim mreama treba ugraditi dopunske kontrole za
proveru verodostojnosti. Posebno, specijalna panja je potrebna prilikom izbora
kontrola za beine mree zbog veih mogunosti za neprimetno prislukivanje i
ubacivanje u saobraaj na mrei.
Ostale informacije
Spoljni prikljuci pruaju mogunost neovlaenog pristupa poslovnim informacijama,
npr. pristup metodom biranja broja. Postoje razni tipovi provere verodostojnosti, pri
emu neki od njih daju vei nivo zatite od drugih, npr. metode zasnovane na primeni
kriptografskih postupaka mogu da obezbede strogu proveru verodostojnosti. Vano je
da se nivo potrebne zatite odredi na osnovu ocenjivanja rizika. To je potrebno radi
odgovarajueg izbora metode za proveru verodostojnosti.
Sredstva za automatsko povezivanje sa udaljenim raunarom mogu da otvore put za
dobijanje neovlaenog pristupa nekoj poslovnoj aplikaciji. Ovo ima poseban znaaj
ako se za povezivanje koristi mrea koja je izvan kontrole upravljanja sigurnou u
organizaciji.

15

Primena standrada za upravaljanje informacionom bezbednou

Indetifikovanje opreme u mreama

Kontrola
Automatizovano identifikovanje opreme treba razmotriti kao dodatno sredstvo za
utvrivanje verodostojnosti prikljuaka sa posebnih lokacija i opreme.
Smernice za implementaciju
Identifikovanje opreme moe se primenjivati onda kada je vano da se komunikacije
mogu zapoeti samo sa neke posebne lokacije ili opreme. Da bi se identifikovalo da li
je nekoj opremi dozvoljeno da se prikljui na mreu, moe se koristiti identifikator
unutar same opreme ili onaj pridodat toj opremi. Ovi identifikatori treba jasno da
ukazuju na koju mreu oprema moe da se spoji, ukoliko postoji vie mrea, a
posebno ako je osetljivost tih mrea razliita. Da bi se sauvala tajnost identifikatora
opreme, moe biti neophodno uzeti u obzir fiziku zatitu te opreme.
Ostale informacije
Da bi se utvrdila verodostojnost korisnika ureaja, ova kontrola se moe dopuniti i
drugim tehnikama. Pored utvrivanja verodostojnosti korisnika, moe se primeniti i
identifikovanje opreme.

Zatita prikljuka za daljinsku dijagnostiku i konfigurisanje

Kontrola
Fiziki i logiki pristup prikljucima za daljinsku dijagnostiku i konfigurisanje treba da
budu kontrolisani.
Smernice za implementaciju
Mogue kontrole pristupa prikljucima za daljinsku dijagnostiku i konfigurisanje
ukljuuju primenu bravice sa kljuem i procedure za podrku kontrole fizikog
pristupa prikljucima. Jedan primer takve procedure za podrku je da se osigura da
su dijagnostiki i konfiguracijski prikljuci dostupni samo u dogovoru izmeu
rukovodioca raunarskih usluga i osoblja za podrku hardvera/softvera kojem je
potreban pristup.
Prikljuke, usluge i slina sredstva koji su instalisana na neki raunar ili sredstva na
mrei, koja se ne zahtevaju posebno za funkcije poslovanja, treba onemoguiti ili
ukloniti.
Ostale informacije
Mnogi raunarski sistemi, mreni i komunikacioni sistemi opremljeni su sredstvima za
daljinsku dijagnostiku ili konfigurisanje, a koriste ih strunjaci za odravanje. Ako su
nezatieni, ovi dijagnostiki prikljuci pruaju sredstvo za neovlaeni pristup.

Razdvajanje u mreama
Kontrola
U mreama, grupe informacionih usluga, korisnika i informacionih sistema treba da
budu meusobno razdvojene.

16

Primena standrada za upravaljanje informacionom bezbednou

Smernice za implementaciju
Jedna od metoda za kontrolu sigurnosti u velikim mreama jeste da se one podele u
odvojene logike mrene domene, npr. na domen interne mree organizacije i na
domen eksterne mree, pri emu je svaki domen zatien u definisanoj sigurnoj
oblasti. Da bi se u raznim logikim mrenim domenima izvrilo dalje razdvajanje
sigurnosnih okruenja mree, moe se ugraditi stepenasti skup kontrola, npr. sistemi
sa javnim pristupom, unutranje mree i kritina dobra. Domene treba definisati na
osnovu ocenjivanja rizika i razliitih zahteva za zatitu unutar svakog domena.
Takva oblast u mrei moe se uvesti instalisanjem sigurnosnog prolaza izmeu dve
mree koje meusobno treba povezati, kako bi se kontrolisao pristup i protok
informacija izmeu ova dva domena. Ovaj prolaz treba konfigurisati tako da filtrira
saobraaj izmeu tih domena , kao i da zaustavlja neovlaeni pristup u skladu sa
politikom organizacije za kontrolu pristupa. Primer ovakvog tipa prolaza za pristup se
obino navodi kao "protivpoarna pregrada". Druga metoda razdvajanja logikih
domena je da se ogranii pristup mrei korienjem virtuelnih privatnih mrea za
grupe korisnika unutar organizacije.
Mree je takoe mogue razdvojiti korienjem funkcija mrenih ureaja, npr. IP
prespajanje. Razdvojeni domeni se zatim mogu implementirati preko upravljanja
tokovima podataka primenom funkcija usmeravanja/prespajanja, kao to su spiskovi
za kontrolu pristupa.
Kriterijumi za razdvajanje mrea u domene treba da se zasnivaju na politici kontrole
pristupa i zahtevima za pristup, a u obzir treba uzeti i relativne trokove i posledice
ugradnje pogodnog mrenog usmeravanja ili samu tehniku prolaza.
.
Pored toga, razdvajanje u mreama treba da se zasniva na vrednosti i
klasifikovanosti informacija koje su uskladitene ili se obrauju u mrei, nivoima
poverenja, ili vrstama poslovanja, kako bi se smanjile ukupne posledice od nekog
poremeaja na uslugama.
Treba razmotriti odvajanje beinih mrea od unutranjih i privatnih mrea. Poto
oblasti beinih mrea nisu potpuno definisane, u takvim sluajevima treba sprovesti
ocenjivanje rizika da bi se identifikovale kontrole (npr. stroga provera verodostojnosti,
kriptografske metode i izbor frekvencija) kako bi se razdvajanje mrea odralo.
Ostale informacije
Mree se sve vie proiruju izvan tradicionalnih granica organizacije, jer se formiraju
poslovna partnerstva kojima e biti potrebno meusobno povezivanje ili zajedniko
korienje sredstava za obradu informacija i povezivanje u mree. Takva proirenja
mogu poveati rizik neovlaenog pristupa u ve postojeim informacionim
sistemima koji koriste mreu, od kojih nekima moe biti potrebna zatita od drugih
korisnika te mree zbog sopstvene osetljivosti ili kritinosti.

Kontrola povezivanja na mreu

Kontrola

17

Primena standrada za upravaljanje informacionom bezbednou

U sluaju mrea sa zajednikim korienjem, posebno onih koje se proteu izvan

granica organizacija, mogunost korisnika za povezivanje na takvu mreu treba da
bude ograniena, u skladu sa politikom kontrole pristupa i zahtevima poslovnih
aplikacija.
Smernice za implementaciju
Prava korisnika na pristup treba odravati i aurirati prema zahtevima politike
kontrole pristupa.
Mogunosti povezivanja korisnika mogu se ograniiti preko prolaza za pristup na
mreu u kojima se saobraaj filtrira pomou prethodno definisanih tabela ili pravila.
Primeri aplikacija prema kojima treba primeniti ogranienja su:
a) prenoenje poruka, npr. elektronska pota;
b) prenoenje datoteka;
c) interaktivni pristup (sa uzajamnim delovanjem);
d) pristup aplikacijama.
Treba uzeti u obzir vezivanje prava na pristup mrei za odreena vremena u toku
dana ili za datume.
Ostale informacije
U sluaju mrea sa zajednikim korienjem, politikom kontrole pristupa moe se
zahtevati ugradnja kontrola radi ograniavanja mogunosti povezivanja korisnika na
mreu, posebno u sluaju onih mrea koje se proteu izvan granica organizacije.

Kontrola preusmeravanja u mrei

Kontrola
Da bi se osiguralo da povezivanje raunara i tokovi informacija u poslovnim
aplikacijama ne kre politiku kontrole pristupa, za mree je potrebno implementirati
kontrole preusmeravanja.
Smernice za implementaciju
Kontrole preusmeravanja treba da se zasnivaju na mehanizmima za pouzdanu
proveru adresa izvorita i odredita.
Za validaciju adresa izvorita i odredita mogu se koristiti sigurnosni prolazi za
pristup na unutranjim ili spoljnim kontrolnim takama, ukoliko se primenjuju tehnike
prevoenja proksi i/ili mrenih adresa. Oni koji implementiraju treba da poznaju
snagu i nedostatke svakog od mehanizama koji se postavljaju. Zahtevi za kontrolu
preusmeravanja u mrei treba da se zasnivaju na politici kontrole pristupa.
Ostale informacije
U sluaju mrea sa zajednikim korienjem, posebno onih koje se proteu izvan
granica organizacije, moda e se zahtevati dodatne kontrole za preusmeravanje.

18

Primena standrada za upravaljanje informacionom bezbednou

Ovo posebno vai za mree koje se koriste zajedno sa korisnicima treih strana (koji
ne pripadaju organizaciji).

3.4. Kontrola pristupa operativnom sistemu

Cilj je spreiti neovlaeni pristup operativnim sistemima.[3]
Za ograniavanje pristupa sistemu na ovlaene korisnike treba da se koriste
sredstva za sigurnost. Ova sredstva treba da imaju sposobnosti za:
a) utvrivanje verodostojnosti ovlaenih korisnika, u skladu sa definisanom politikom
kontrole pristupa;
b) zapisivanje uspenih i neuspenih pokuaja utvrivanja verodostojnosti u sistemu;
c) zapisivanje korienja specijalnih sistemskih privilegija;
d) davanje alarma onda kada se prekri politika sigurnosti u sistemu;
e) pruanje odgovarajuih sredstava za utvrivanje verodostojnosti;
f) onda kada to odgovara, ograniavanje trajanja povezivanja korisnika

Procedure za sigurno prijavljivanje

Kontrola
Pristup operativnim sistemima treba da se kontrolie preko procedure za sigurnosno
prijavljivanje.
Smernice za implementaciju
Proceduru za prijavljivanje na operativni sistem treba projektovati tako da se na
minimum svede mogunost neovlaenog pristupa. Procedura za prijavljivanje zbog
toga treba da otkriva samo minimum informacija o sistemu, kako bi se izbeglo da se
neovlaenom korisniku nepotrebno prui pomo. Dobra procedura za prijavljivanje
treba:
a) da ne prikazuje identifikatore sistema ili aplikacije sve dok se prijavljivanje ne
dovri uspeno;
b) da prikae optu poruku upozorenja da raunaru treba da pristupaju samo
ovlaeni korisnici;
c) da u toku procedure za prijavljivanje ne daje poruke za pomo koje bi pomogle
neovlaenim korisnicima;
d) da validaciju informacija dobijenih radi prijavljivanja izvri tek po zavretku
unoenja svih podataka. Ukoliko nastane stanje greke, sistem ne treba da ukae
na to koji je deo podataka taan ili netaan;

19

Primena standrada za upravaljanje informacionom bezbednou

e) da ogranii dozvoljeni broj neuspenih pokuaja prijavljivanja, npr. na tri pokuaja i

jo da predvidi:
1) zapisivanje neuspenih i uspenih pokuaja;
2) sprovoenje vremenskog odlaganja pre nego to se dozvole dalji pokuaji
prijavljivanja ili odbacivanje svakog daljeg pokuaja bez posebnog odobrenja;
3) raskidanje veza u linku za podatke;
4) slanje poruke upozorenja na sistemsku konzolu ako je dostignut najvei
dozvoljen broj pokuaja prijavljivanja;
5) postavljanje broja ponovnih pokuaja unosa lozinke, u vezi sa najmanjom
duinom lozinke i vrednosti sistema koji se titi;
f) da ogranii maksimalno i minimalno dozvoljeno vreme trajanja procedure
prijavljivanja. Ako se ona prekorae, sistem treba da obustavi prijavljivanje;
g) da po zavretku uspenog prijavljivanja prikae sledee informacije:
1) datum i vreme prethodnog uspenog prijavljivanja;
2) detalje svakog od neuspelih pokuaja prijavljivanja, u periodu posle zadnjeg
uspenog prijavljivanja.
h) da ne prikazuje lozinku koja se unosi ili da znakove lozinke sakriva pomou drugih
simbola;
i) da kroz mreu ne alje lozinke u otvorenom tekstu.
Ostale informacije
Ako se lozinke u toku sesije prijavljivanja na mreu prenose u otvorenom tekstu, one
na mrei mogu biti uhvaene pomou nekog mrenog programa za praenje.

Indetifikovanje i utvrivanje verodostojnosti korisnika

Svi korisnici treba da imaju jedinstveni identifikator (korisniki ID) samo za sopstveno
i jedinstveno korienje, a za dokazivanje najavljenog identiteta nekog korisnika
treba odabrati pogodan postupak za utvrivanje verodostojnosti.
Smernice za implementaciju
Ovu kontrolu treba primenjivati na sve tipove korisnika (ukljuujui osoblje za
tehniku podrku, operatere, administratore mrea, sistemske programere i
administratore baza podataka).
Korisnike identifikatore (ID) treba primenjivati da bi se aktivnosti mogle ispratiti do
odgovornog pojedinca. Redovne korisnike aktivnosti ne treba obavljati sa
privilegovanih rauna.
U izuzetnim okolnostima, onda kada postoji jasna poslovna korist, moe se primeniti i
zajedniki identifikator grupe korisnika ili specifinog posla. Za takve sluajeve treba
dobiti dokumentovano odobrenje menadmenta. Za odranje odgovornosti mogu biti
potrebne dopunske kontrole.

20

Primena standrada za upravaljanje informacionom bezbednou

Generike identifikatore (ID) za individualno korienje treba odobravati samo kada

dostupne funkcije ili aktivnosti koje se sprovode nema potrebe pratiti (npr. pristup
samo sa itanjem), ili kada postoje postavljene druge kontrole (npr. lozinka za
generiki ID koja se samo izdaje jednom po jednom zaposlenom i zapisivanje takvog
sluaja).
Kada se zahteva stroga provera verodostojnosti i verifikovanje identiteta, treba
koristiti metode alternativne lozinkama, kao to su kriptografska sredstva, kartice sa
ipom, etoni ili biometrijska sredstva.
Ostale informacije
Lozinke su vrlo uobiajen nain da se obezbedi identifikovanje i utvrdi verodostojnost
zasnovano na tajni koju zna samo korisnik. Isto se moe ostvariti i pomou
kriptografskih sredstava i protokola za utvrivanje verodostojnosti. Strogost
identifikovanja korisnika i utvrivanja verodostojnosti treba da odgovara osetljivosti
informacija kojima se pristupa.
Za identifikovanje i utvrivanje verodostojnosti takoe se mogu koristiti objekti koje
poseduju korisnici, kao to su memorijski tokeni (etoni) ili kartice sa ipom. Za
utvrivanje linog identiteta osobe mogu se koristiti i jedinstvene karakteristike ili
biometrijski atributi pojedinca. Kombinacija tehnika i vrsto povezanih mehanizama
prua pouzdanije utvrivanje verodostojnosti.

Sistem za upravljanje lozinkama

Kontrola
Sistemi za upravljanje lozinkama treba da budu interaktivni i treba da osiguraju
kvalitetne lozinke.
Smernice za implementaciju
Sistem za upravljanje lozinkama treba da:
a) sprovodi korienje pojedinanih korisnikih identifikatora (ID) i lozinki kako bi se
odrala odgovornost;
b) omogui korisnicima, onda kada to odgovara, da odabiraju i menjaju sopstvene
lozinke, kao i da ukljue proceduru potvrivanja kako bi se u obzir uzele greke
prilikom unoenja;
c) sprovodi odabiranje pouzdanih lozinki;
d) sprovodi promene lozinki;
e) sprovodi da korisnici privremenu lozinku zamene prilikom svog prvog prijavljivanja;
f) da odrava zapis sa prethodnim korisnikim lozinkama, kao i da sprei njihovo
ponovno korienje;
g) da prilikom unoenja, lozinke ne prikazuje na ekranu;
h) datoteke sa lozinkama skladiti zasebno od sistemskih podataka aplikacije;
i) skladiti lozinke i alje ih u zatienom obliku (npr. ifrovane ili sa primenom "ha"postupka).

21

Primena standrada za upravaljanje informacionom bezbednou

Ostale informacije
Lozinke su jedno od glavnih sredstava validacije ovlaenja korisnika za pristup
nekoj raunarskoj usluzi.
Neke aplikacije zahtevaju da lozinke korisnicima dodeljuje neko nezavisno ovlaeno
telo; u takvim sluajevima ne primenjuju se prethodno navedene take b), d) i e). U
najveem broju sluajeva lozinke odabiraju i uvaju sami korisnici.

Korienje pomonih funkcija sistema

Kontrola
Korienje pomonih funkcija kojima se mogu prevladati postojee kontrole u
sistemu ili aplikaciji mora se ograniiti i vrsto drati pod kontrolom.
Smernice za implementaciju
Prilikom korienja pomonih funkcija sistema treba uzeti u obzir sledee smernice:
a) primenu procedura za identifikovanje, utvrivanje verodostojnosti i izdavanje
odobrenja za korienje sistemskih pomonih funkcija;
b) razdvajanje pomonih programa sistema od aplikacijskih softvera;
c) ogranienje korienja pomonih funkcija sistema na minimalno ostvarljiv broj
poverljivih, ovlaenih korisnika;
d) izdavanje ovlaenja za jednokratno korienje pomonih funkcija sistema;
e) ograniavanje raspoloivosti pomonih funkcija sistema, npr. samo u toku trajanja
unoenja neke autorizovane promene;
f) zapisivanje svih korienja pomonih funkcija sistema;
g) definisanje i dokumentovanje nivoa autorizacije za pomone programe sistema;
h) uklanjanje ili onemoguenje svih nepotrebnih pomonih funkcija zasnovanih na
softveru, kao i sistemskih softvera;
i) nestavljanje na raspolaganje pomonih funkcija sistema korisnicima koji imaju
pristup aplikacijama u sistemima u kojima se zahteva razdvajanje zaduenja.
Ostale informacije
Najvei broj instalisanih raunara sadri po jednu ili vie pomonih funkcija sistema
koje mogu imati sposobnost prevladavanja sistemskih ili aplikacijskih kontrola

Vremensko ogranienje trajanja sesije

Kontrola
Neaktivne (zapoete) sesije treba posle definisanog perioda neaktivnosti okonati.
Smernice za implementaciju
Sredstvo za vremensko ogranienje treba da sa ekrana izbrie sve sadraje
zapoete sesije, a naknadno, posle definisanog perioda neaktivnosti, moe takoe
22

Primena standrada za upravaljanje informacionom bezbednou

da prekine sesije sa aplikacijom i mreom. Odlaganje prekida po isteku vremenskog

ogranienja treba da odrazi rizike po sigurnost u odreenoj oblasti, klasifikovanosti
informacija sa kojima se radi i aplikacija koje se koriste, kao i rizike u odnosu na
korisnike opreme.
U nekim sistemima se mogu primeniti uproena sredstva za vremenska ogranienja
kojima se brie sadraj ekrana i spreava neovlaeni pristup, ali koja ne prekidaju
sesiju sa aplikacijom ili sa mreom.
Ostale informacije
Ova kontrola je posebno vana na lokacijama visokog rizika koje ukljuuju javna
mesta ili mesta izvan domaaja upravljanja sigurnou u organizaciji. Sesije treba
prekidati kako bi se spreio pristup neovlaenim osobama i uskraivanje usluge.

Ogranienje trajanja povezivanja

Kontrola
Ogranienje trajanja povezivanja treba primeniti da bi se pruila dodatna sigurnost u
radu sa aplikacijama visokog rizika.
Smernice za implementaciju
Kontrole vremenskog trajanja povezivanja treba predvideti za rad sa osetljivim
raunarskim aplikacijama, posebno sa onima na lokacijama visokog rizika, npr. u
javnim i udaljenim oblastima koje su izvan domaaja upravljanja sigurnou u
organizaciji. Primeri takvih ogranienja obuhvataju:
a) korienje unapred utvrenih vremenskih perioda, npr. prilikom prenoenja
datoteka u paketima ili prilikom normalnih uzajamno interaktivnih sesija kratkog
trajanja;
b) ograniavanje trajanja povezivanja na normalno radno vreme ustanove, ukoliko ne
postoje potrebe za prekovremenim ili produenim radom;
c) ponovno utvrivanje verodostojnosti u odreenim vremenskim intervalima.
Ostale informacije
Ograniavanje perioda u toku kojeg su dozvoljena povezivanja na raunarske usluge
smanjuje prostor (okvir) povoljnim prilikama za neovlaeni pristup. Ogranienje
trajanja aktivnosti sesija spreava korisnike da vezu dre otvorenu kako bi izbegli
ponovnu proveru verodostojnosti.

3.5. Kontrola pristupa aplikacijama i informacijama

Cilje je spreiti neovlaeni pristup informacijama koje su sadrane u aplikacijskim
sistemima. [3]
Sredstva sigurnosti treba koristiti za ograniavanje pristupa aplikacijskim sistemima,
kao i unutar njih.
23

Primena standrada za upravaljanje informacionom bezbednou

Logiki pristup aplikacijskom softveru i informacijama treba ograniiti na ovlaene

korisnike.
Aplikacijski sistemi treba:
a) da kontoliu pristup korisnika informacijama i funkcijama aplikacijskih sistema, u
skladu sa definisanom politikom kontrole pristupa;
b) da pruaju zatitu od neovlaenog pristupa pomou bilo kojeg pomonog
programa, operativnog sistemskog softvera i malicioznih softvera koji su sposobni
da prevladaju ili zaobiu sistemske ili aplikacijske kontrole;
c) da ne kompromituju druge sisteme sa kojima se informacioni resursi zajedniki
koriste.

Ogranienje pristupa informacijama

Kontrola
Pristup informacijama i funkcijama aplikacijskog sistema, ukljuujui korisnike i
osoblje za podrku, treba ograniiti u skladu sa definisanom politikom kontrole
pristupa.
Smernice za implementaciju
Ogranienja pristupa treba da se zasnivaju na pojedinanim zahtevima poslovnih
aplikacija. Politika kontrole pristupa treba takoe da bude dosledna sa politikom
organizacije prema pristupu.
Da bi se podrali zahtevi za ogranienje pristupa, treba uzeti u obzir sledee
smernice:
a) obezbeenje menija (opcija) za kontrolu pristupa funkcijama aplikacijskog sistema;
b) kontrolu prava korisnika na pristup, npr. na itanje, upisivanje, brisanje ili
izvravanje;
c) kontrolu prava drugih aplikacija na pristup;
d) osiguravanje da podaci na izlazu iz aplikatcijskih sistema u kojima se postupa sa
osetljivim informacijama sadre samo informacije koje se odnose na korienje tih
izlaznih podataka i da se oni alju samo prema ovlaenim terminalskim ureajima i
lokacijama; ovo treba da ukljui periodino preispitivanje takvih izlaznih podataka
kako bi se osiguralo da se suvine informacije uklanjaju.

Izdvajanje osetljivih sistema

Kontrola
Osetljivi sistemi treba da budu smeteni u posebnom (izdvojenom) raunarskom
okruenju.
Smernice za implementaciju
Prilikom izdvajanja osetljivih sistema treba uzeti u obzir sledee:

24

Primena standrada za upravaljanje informacionom bezbednou

a) osetljivost aplikacijskog sistema treba da eksplicitno utvrdi i dokumentuje vlasnik

odreene aplikacije;
b) kada neku osetljivu aplikaciju treba izvravati u zajednikom okruenju, vlasnik te
osetljive aplikacije treba da identifikuje i prihvati aplikacijske sisteme sa kojima e
se resursi zajedniki koristiti i snositi odgovarajui rizici.
Ostale informacije
Neki aplikacijski sistemi su osetljivi na mogue gubitke dovoljno da zahtevaju
posebno postupanje. Ova osetljivost moe ukazivati na to da takav aplikacijski sistem
zahteva:
a) izvravanje na nekom odreenom raunaru;
b) da resurse zajedniki koristi samo sa proverenim aplikacijskim sistemima.

3.6. Mobilno raunarstvo i rad na udaljenosti

Cilj je osigurati zatitu informacija prilikom korienja mobilnih raunara i sredstava
za rad sa udaljenosti. [3]
Zatita koja se zahteva treba da bude primerena rizicima do kojih dovodi ovakav
nain rada. Kada se koristi mobilni raunar, u obzir treba uzeti rizike od rada u
nezatienom okruenju i treba primeniti odgovarajuu zatitu. U sluaju rada sa
udaljenosti, organizacija treba da primeni zatitu na udaljenom mestu i da osigura da
se uspostave odgovarajui uslovi za ovakav nain rada.

Mobilno raunarstvo i komunikacije

Kontrola
Treba uspostaviti formalnu politiku i usvojiti odgovarajue mere sigurnosti za zatitu
od rizika pri radu sa mobilnim raunarima i komunikacionim sredstvima.
Smernice za implementaciju
Kada se koriste mobilna raunarska i komunikaciona sredstva, npr. belenice,
organizatori, raunari koji se dre na krilu, kartice sa ipom i mobilni telefoni, treba
preduzeti posebne mere kako bi se osiguralo da se poslovne informacije ne
kompromituju. Politika rada na mobilnim raunarima treba da uzme u obzir rizike pri
radu na mobilnoj raunarskoj opremi u nezatienim okruenjima.
Politika mobilnog raunarstva treba da obuhvati zahteve za fiziku zatitu, kontrole
pristupa, kriptografske postupke, izradu rezervnih kopija i zatitu od virusa. Ova
politika takoe treba da sadri pravila i savete za povezivanje mobilnih sredstava na
mree i uputstva za korienje ovih sredstava na javnim mestima.
Treba obratiti panju prilikom korienja sredstava mobilnog raunarstva na javnim
mestima, u salama za sastanke i u drugim nezatienim oblastima izvan prostorija
25

Primena standrada za upravaljanje informacionom bezbednou

organizacije. Zatita treba da bude postavljena tako da se izbegne neovlaeni

pristup ili razotkrivanje informacija koje se uvaju i obrauju u tim sredstvima, npr.
primenom kriptografskih postupaka.
Kada takva sredstva koriste na javnim mestima, korisnici treba da obrate panju na
to da se izbegne rizik od posmatranja neovlaenih osoba. Treba da su ugraene
procedure protiv malicioznih softvera koje treba redovno aurirati.
Treba redovno praviti rezervne kopije kritinih poslovnih informacija. Na raspolaganju
treba da bude oprema za brzu i laku izradu rezervnih kopija informacija. Za ove
rezervne kopije treba da postoji odgovarajua zatita, npr. od krae ili gubitka
informacija.
Pogodna zatita treba da se prui prilikom korienja mobilnih sredstava onda kada
se ona povezuju na mree. Daljinski pristup poslovnim informacijama preko javnih
mrea korienjem mobilnih sredstava treba da se odvija tek posle uspenog
identifikovanja i provere njihove verodostojnosti, pomou ugraenih odgovarajuih
mehanizama za kontrolu pristupa.
Sredstva mobilnog raunarstva treba i fiziki zatititi protiv krae, posebno onda kada
se ona ostavljaju, na primer u automobilu i drugim oblicima transporta, hotelskim
sobama, konferencijskim centrima i mestima sastanaka. Treba uspostaviti specifinu
proceduru kojom se uzimaju u obzir pravni i zahtevi osiguranja za zatitu u
organizaciji, za sluaj krae ili gubitka sredstava mobilnog raunarstva. Opremu koja
sadri vane, osetljive i/ili kritine poslovne informacije ne treba ostavljati bez
nadzora, a onda kada je to mogue, treba je fiziki zakljuati ili koristiti specijalne
bravice za njihovo osiguravanje.
Treba sprovesti obuku osoblja koje primenjuje mobilno raunarstvo da bi se
poboljala njegova obavetenost o dodatnim rizicima do kojih dolazi usled ovakvog
naina rada i kontrolama koje treba implementirati.
Ostale informacije
Mobilni beini spojevi na mree slini su drugim tipovima povezivanja na mree, ali
postoje vane razlike koje treba uzeti u obzir prilikom identifikovanja kontrola. Tipine
razlike su:
a) neki protokoli za sigurnost kod beinog rada su nedovoljno sazreli i imaju
poznate
slabosti;
b) moe se desiti da se za informacije koje se uvaju u mobilnim raunarima ne
prave rezervne kopije zbog ograniene irine opsega u mreama i/ili zato to mobilni
ureaj moda nije spojen u trenucima kada je predviena izrada rezervnih kopija.

Rad na udaljenosti
Kontrola
Treba razviti i implementirati politiku, operativne planove i procedure za aktivnosti pri
radu sa udaljenosti.

26

Primena standrada za upravaljanje informacionom bezbednou

Smernice za implementaciju
Organizacije treba da autorizuju rad sa udaljenosti samo ako su zadovoljne
uspostavljenim odgovarajuim sistemima sigurnosti i kontrolama i ako su oni u
skladu sa politikom sigurnosti u organizaciji.
Na udaljenoj lokaciji treba da bude postavljena odgovarajua zatita, npr. protiv
krae opreme i informacija, neovlaenog razotkrivanja informacija, neovlaenog
daljinskog pristupa unutranjim sistemima organizacije ili zloupotrebe sredstava.
Menadment treba da autorizuje i kontrolie aktivnosti rada sa udaljenosti, kao i da
naprave odgovarajue dogovore za ovakav nain rada.
U obzir treba uzeti sledee:
a) postojeu fiziku sigurnost na mestu rada sa udaljenosti, uzimajui u obzir fiziku
sigurnost zgrade i lokalnog okruenja;
b) predloeno fiziko okruenje za rad sa udaljenosti;
c) zahteve za sigurnost komunikacija, uzimajui u obzir potrebe za daljinski pristup
internim sistemima organizacije, osetljivost informacija kojima se pristupa i koje se
alju preko komunikacionih veza, kao i osetljivost internih sistema;
d) pretnju da e drugi ljudi koji koriste isti smetaj, npr. rodbina i prijatelji,
neovlaeno pristupiti informacijama ili resursima;
e) korienje kunih mrea i zahteve ili ogranienja na konfiguraciji usluga u beinoj
mrei;
f) politike i procedure da bi se spreili sporovi u pogledu prava intelektualne svojine
kod ureaja u privatnoj svojini;
g) pristup ureajima koji su u privatnom vlasnitvu (da bi se proverila sigurnost
maine ili u toku istrage), to zakon moe spreavati;
h) sporazumi u vezi sa licencama za softver koji su takvi da organizacija moe da
podlee zakonu prilikom davanja licence za softver klijentu na radnoj stranici koja
je u privatnom posedu osoblja, isporuilaca ili korisnika tree strane;
i) zatita od virusa i zahtevi za "protivpoarne" zatitne pregrade.
Smernice i dogovori koje treba uzeti u obzir:
a) obezbeenje pogodne opreme i nametaja za smetaj prilikom rada sa
udaljenosti, onda kada nije dozvoljeno korienje privatne opreme koja nije pod
kontrolom organizacije;
b) definisanje dozvoljenog rada, radnog vremena, klasifikovanje informacija koje
mogu biti sadrane i interni sistemi i usluge za koje je udaljeni radnik ovlaen da
im pristupa;
c) obezbeenje pogodne komunikacione opreme, ukljuujui metode za osiguranje
daljinskog pristupa;

27

Primena standrada za upravaljanje informacionom bezbednou

d) fiziku sigurnost;
e) pravila i uputstva o pristupu roaka i posetilaca opremi i informacijama;
f) obezbeivanje i odravanje hardverske i softverske podrke;
g) obezbeivanje osiguranja;
h) procedure za izradu rezervnih kopija i za kontinuitet poslovanja;
i) proveru i nadgledanje sigurnosti;
j) ukidanje ovlaenja i prava pristupa i vraanje opreme onda kada se aktivnosti sa
udaljenosti zavre.
Ostale informacije
Prilikom rada sa udaljenosti primenjuju se komunikacione tehnologije kako bi se
osoblju omoguilo da radi sa udaljene lokacije izvan sopstvene organizacije.

28

Primena standrada za upravaljanje informacionom bezbednou

4. CASE STUDY [1]

4.1.Studija sluaja Fredrickson International
Fredrickson International je jedna od vodeih intustrijskih agencija za Kolekcije duga,
osnovana 1992. u Velikoj Britaniji.
Specijalizovani su za veliki obim potroakih kredita u vie razliitih sektora trita.
Posluju u ime mnogih od vodeih finansijskih institucija i korporacija u Velikoj Britaniji.
Tani uslovi i plaanja aranmana su fleksibilni prema potrebama njihovih klijenata i
njihova potpuna ovlaenja za kreditna i debitna plaanja im omoguavaju stalno
sticanje novih klijenata.
Postoje 3 kamena njihovog poslovanja :
Saglasnost
Performanse
Inovacija
Pojedinano svaki kamen je za divljenje. Kolektivno kombinovanje sva ova tri
kamena ine ubedljiv poslovni sluaj za svaku korporaciju ili organizaciju koja eli da
postigne maksimalnu generaciju prihoda uz pridravanje svih relevantnih zakona i
regulative koja definie aktivnosti prikupljanja duga u Velikoj Britaniji.
Ovo je dinamina industrija i oni su jako svesni konkurencije . Postigli su njihovu
poziciju na tritu i nastoje da poboljaju svaki aspekt svog poslovanja. Ovo stalno
poboljanje je od fundamentalnog znaaja za njihov dugoroni uspeh i to nije
sluajno. Njihovi klijenti ih vide kao najinovativnijeg partera za njihov portfolio.
Zapoljavaju vie od 300 radnika i generiu vie od 100 miliona funti godinje. Njihovi
klijenti su mnoge od najveih i najuglednijih kompanija u Velikoj Britaniji. Oni su
lanovi Udruenja kreditnih usluga (CSA) i grupe duga kupaca i prodavaca (DBSG).
Oni rade u razliitim sektorima industrije i razvili su njihove sisteme i procese kako bi
obezbedili ne samo vodeu industrijsku granu u kojoj posluju,ve i ire.
Njihov fokus je na poveanju (RPC) do nivoa bez presedana. Oni postoje da
pomognu svojim klijentima da postignu i prevazdju svoje ciljeve.
Fredrickson International je deo Interlaken grupacije.
Drutvena odgovornost: Fredrickson International se trudi da ima pozitivan uticaj na
ire drutvo. Zapoljavaju vie od 300 radnika u lokalnoj oblasti, podravaju veliki
broj dobrotvornih organizacija i fondacija, partneri su Duke of Edinburgh nagrada I
podravaju njihovu lokalnu zajednicu.

29

Primena standrada za upravaljanje informacionom bezbednou

Okruenje je vano za njih. Udruili sa Carbon Trust i obavezali se da e smanjiti

emisiju ugljen-dioskida. Koriste reciklirani papir za njihova slova i pokuavaju da
smanjie koliinu papira koju e kao organizacija koristiti.Oni su jedini OCA u Velikoj
Britaniji koji u svojoj ponudi ima reciklae mobilnih telefona kao nain otplate.
www.freds.com/recycle

Zato sertifikacija?
Industrija naplate duga je predmet sve intenzivnijeg regulatornog nadzora irom
sveta, a klijenti Fredrickson kompanije dolaze iz velikog broja visoko regulisanih
industrijskih sektora, ukljuujui bankarstvo, finansije, komunalno, telekomunikacije,
kuna kupovina, centralna vlada.
Kao i veina organizacija, Fredrickson se suoava sa izazovima poveane
bezbednosti i zahtevima za upravljanje IT. Sigurnost informacija je od sutinskog
znaaja za uspeh Fredrickson poslovanja poto njihovo poslovanje ukljuuje
primanje, analiziranje i uvanje osetljivih potroaa i poslovnih kreditnih informacija.
Neophodno je da organizacija ima odgovarajuu kontrolu i da titi svoje sisteme od
hakera i sprei da line informacije o svojim sistemima padnu u pogrene ruke poto
postoji veliki i realan rizik da to moe biti neki kriminalan koji eli da poini prevaru
identiteta. Stoga je imperativ da Fredrickson uveri svoje klijente i javnost da
bezbednost njihovih linih informacija shvataju veoma ozbiljno.
Organizacija redovno prolazi reviziju kako od strane klijenata tako i od drugih
zainteresovanih strana kako bi videli da li njihovo poslovanje napreduje.Kao takva
Fredrickson ima inspiraciju da se da se usavrava sve dok ne postane
najkompatibilnija agencija u svojoj industriji. Prema Simonu Jonesu, upravnom
direktoru Radije nego da kaemo da smo kompatibilni, mi smo smatrali da bi bilo
bolje obezbediti trite neophodnim poverenjem koje je potrebno, bili smo spremni i
da se podvrgnemo nezavisnoj proceni naeg ISO 27001 sistema bezbednosti za
upravljanje.

Implementacija
Za Fredrickson traei potvrdu za ISO 27001 je relativno prihvatljivo poto ve
posluju u skladu sa standardom. Organizacija sprovodi analize jaza,kada su
indetifikovani propusti u sistemu to je omoguavalo poboljanje pre revizije od
strane treeg lica. Dok su mnoge politike i procedure o bezbednosti informacija vec
odavno postojale, dokumenti o tome nisu bili dostupni i samo osnovno znanje je bilo
dostupno. U nastojanju da popravi ovo Fredrickson, je stvorio odbor za bezbednost
sa ciljem podizanja svesti u celoj kompaniji kao i vodjenje celog procesa korak
napred. Odbor je koristio kombinaciju treninga i postera kampanje kako bi se
obezbedio da osoblje razume znaaj bezbednosti informacija, kao i uloge koje su
morali da igraju. Takodje su stvorili shared disk kako bi osoblje organizacije lako
moglo da dodje do potrebnih dokumenata i informacija. Ovaj proces pomogao je da
se obezbedi ukljuivanje svih zaposlenih, takodje je bio od sutinskog zanaaja da
Fredrickson ugradi zahtevane standard i krene napred sa sertifikacijom. Fredrickson
je posveen postavljanju standarda i postajanju najkompatibilnije agencije u Velikoj
Britaniji. Prema Jan-Michael Lejsiju, Fredrickson Veruje da ce u bliskoj budunosti
ISO27001 sertifikat biti preduslov kada nai klijenti biraju spoljne partnere.
30

Primena standrada za upravaljanje informacionom bezbednou

Prednosti
Klijenti i ira javnost sada mogu imati celokupno poverenje u Fredrickson
bezbednosne sisteme prakse i naina upravljanja njihovim linim informacijama.
Fredrickson je izabrao da radi sa BSI zbog ugleda BSI u industriji. Sa BSI smo
realizovali sistem koji nam je obezbedio odgovarajui i pritupaan nivo zatite za
nae lijente.Fredricksnu je BSI obezbedio informacije i preporuke neophodne da
dobije sertifikat, i pripremio ga za stroge, kontinuirane procene revizije. Kroz svoje
redovne posete BSI je bio u stanju da skrene panju Fredricksonu na oblasti u kojima
moe da se pobolja, takodje im je pomogao da uvedu novi nain razmiljanja.
Daren Rajt iz Fredricksona objasnio je Da je bilo nekoliko sluaja od visokog
znaaja, gde su se igubile neke informacije u naoj agenciji i zbog toga
pokazivanjem smanjenje rizika da se ovo dogadja mi dokazujemo da imamo najvii
nivo sigurnosti i pokazujemo klijentima da smo mi ba mi sposobni za tu svrhu. Mi
smo ponosni da kaemo da smo dobili sertifikat, i to potvrdjuje svaki lan naeg
osoblja koji je bio ukljuen u ovom stvaranju.
Fredrickson e na ovom polju stalno kontinuirano da poboljava svoj pristup.
Ostvarivi svoje kratkorone ciljeve, Fredrickson sada radi na tome da razvije veu
svest o sigurnosti medju osobljem i time jo unapredi svoje poslovanje .
Prednosti koje je Fredrickson stekao uvodjenjem ISO27001 sertifikata su:
Vea svest o bezbednosti na svim nivoima organizacije
Vee poverenje klijenata i bolja percepcija organizacije
Uvodjenje ISO27001 standarda samo je uvrstilo poziciju Ferdricksona na tritu i
donelo im mnoge pogodnosti. Postali su agencija u koju klijenti mogu da imaju
potpuno poverenje jer u industriji u kojoj oni posluju od kjunog znaaja je
bezbednost informacija, jer klijenti ele da budu sigurni i zatieni.

4.2.Studija sluaja SVM Europe

Kompanija SVM Europe je dobar primer kroz koji se mogu videti kljune prednosti
uvoenja standarda ISO/IEC 27001, pa ak i neoekivane koristi i rezultati ove
standardizacije. Ovo je kompanija koja se suoila sa brzim rastom, potrebom za
odreenom formom, sigurnou infomacija, koja je prektino u opisu njihovog posla,
zahtevima trita i sve to kroz ouvanje glavnim vrednosti kompanije. Podrku u
ovome je videla u standardizaciji.
SVM Europe je kerka kompanije lidera provajdera poklon kartica SVM LP, sa
seditem u Engleskoj. Ona obezbeuje kompanijama pripejd mogunost za
nagraivanje i motivaciju zaposlenih, kao dela marketing i promocijskih aktivnosti.
Njihovi proizvodi obuhvataju poklon kartice, vauere, e-kodove, fleksibilne nagradne
kodove...

31

Primena standrada za upravaljanje informacionom bezbednou

SVM Europe posluje sa glavnim maloprodajnim brendovima u Engleskoj i Evropi u

vidu iste preprodaje ili programima upravljanja u vidu poklon kartica, vauera i ekodova.
Oni su se jako brzo irili u predhodnim godinama i imali ambicije za proirenje ciljnog
trita. Njihovne poslovne vrednosti koje ine: stabilnost, poverenje, potovanje,
integritet i strast obezbedile su solidan temelj za ovaj rast.

Zato sertifikacija?
Kako je SVM iz malog prerastao u velikog globalnog operatera, bila mu je potrebna
formalnija struktura ali su takoe eleli da osnovne vrednosti kompanije ostanu
centralne u njihovom poslovanju i da ne izgube poslovnu kuluturu koju je sa sobom
nosio mali biznis.
Brajan Dan (Brian Dunne), direktor SVM je izjavio da su smatrali da bi
standardizacija pomogla da njihovo poslovanje dobije odgovarajuu strukturu. Pritom
je napomenuo da konkretno misli na ISO/IEC 27001 i na standard ISO 9001 koji se
odnosi na upravljanje kvalitetom. On je, takoe naglasio, da je standardizacija u
oblasti bezbednosti informacija pomogla rast preduzea a pritom omoguila
potovanje osnovnih vrednosti kompanije.
Jo jedan kljuni razlog za sertifikaciju je bila zatita novca koji se dodaje na kartice
od internih i eksternih prevara.
Pored toga, ustanovili su da je za sve vie dravnih tendera potrebna sertifickacija
ISO/IEC 27001, pa je ona postala fundamentalna za osvajanje novih trita i rast.

Implementacija
Implementacija je kljuna taka standarda ISO/IEC 27001. Postupci i koraci kojim e
se ii ka uvoenju standarda e uticati na uspenost i brzinu prihvatanja istog. Kako
je kompanija primer dobre prakse bitno je istai nain implementacije u njihovom
sluaju.
Uvoenje sistema za upravljanje sigurnosti informacijama u ovu organizaciju je
trajalo godinu dana. Poetna analiza jaza preduzeta od strane kompanije je pokazala
da postoji ve pola zahteva kompatibilnih sa ISO/IEC 27001, sistem za upravljanje
sigurnosti informacijama.
Kako bi se postigla potpuna kompatibilnost, lan vieg rukovodsva, zagovornik ovog
projekta, je koordinirao proces po sistemu top-down uz podrku tima za
sprovoenje planova.
Najvei izazov tokom implemetacije sa kojim se SVM susreo su bili zahtevi za
unapreivanje IT strukture i formalizacije politike za upravljanje podacima. To je
zahtevalo izmene u funkcionisanju kompanije, ukljuujui izmene u slanju informacija
i elektronske pote, naroito utiui na udaljene korisnike i prodajne timove. Ovi
izazovi su bili usmereni za obezbeenje prednosti komunikacije u poslovanju i rano
angaovanje releventnih ljudi kroz, istovremenim razvijanjem politike i scenarija stres
strestiranja.
32

Primena standrada za upravaljanje informacionom bezbednou

Kako bi pomogao u realizaciji, BSI je obuavao kljune lanove SVM tima da budu
uspeni interni revizori. Takoe je organizovao dan analze jaza, kada su
indetifikovani propusti u sistemu to je omoguavalo poboljanje pre revizije od
strane treeg lica.
Svi zaposleni vieg rukovodstva operativnog i pomonog osoblja su uestvovali u
obuci i prezentaciji kako bi obezbedili puno razumevanje i angaovanje u poslovanju.

Koristi
Uvoenje standarda ISO/IEC 27001 je kompaniji donela vee koristi nego to se to
prvobitno oekivalo.
Naa percepcija o ovom putovanju bila je da e ovaj standard biti samo o sigurnosti,
ono to smo mi shvatili je da je on ivotni stil. On zaista utie na sve to radimo i na
to kako to radimo. Sara Vajld (Sarah Wild), operativni menader.
Primeeno je da su nakon uvoenja ovog standarda sva odeljenja u Evropi jednaka i
da se njima se pravilno upravlja, umesto odprilike. Kao rezultat ove sertifikacije
SVM je dobio dobru PR podlogu i mogunost da unapredi svoju reputaciju.
Prednosti koje su oni ostvarili su:
- manje zastoja
- jaa organizaciona struktura
- vee poverenje u bezbednost informacionih procesa
SVM je od stanja gde nema ni registar rizika napredovala do sistema za
registrovanje i upravljanje rizikom infomracija u organizaciji.
SVM organizacija je nakon implementacijie poela da radi sa jasnim politikama i
procedurama sa jasno definisanim ulogama i odgovornostima. Takoe je poela sa
uvoenjem Prince 2 metodologije koja se uklapa u ISO implementaciju.

33

Primena standrada za upravaljanje informacionom bezbednou

5. Zakljuak
Ceo koncept sigurnosti informacija bazira se na konceptu upravljanja rizicima. Ocena
rizika definisana je kao ocena pretnji informacijama (pretnje koje dovode do povrede
poverljivosti, integriteta i raspoloivosti informacija), njihovog uticaja na informacije i
ranjivost informacija, kao i verovatnoe njihove pojave. Upravljanje rizikom je
definisano kao proces identifikacije, kontrole i umanjivanja ili eliminacije sigurnosnih
rizika koji mogu da utiu na informacije i informacione sisteme.
U vremenu izrazitog rasta koliine informacija i znanja u organizacijama i njihovoj
komunikaciji sa korisnicima, za potrebe bezbednosti informacija i za potrebe sticanja
korisnikog poverenja, neophodno je koristiti zahteve modela ISO 27001. Time se
stvara sistem koji je fokusiran na kontinualna poboljavanja i smanjenje trokova i
eliminisanje uzronika greaka u sistemu.

34

Primena standrada za upravaljanje informacionom bezbednou

6. Literatura
[1]

BSI gruoup, http://www.bsigroup.com/en-GB/iso-27001-information-security/

(last visited 25.01.2014.)

[2]

Broderick S. (2006). ISMS security standards and security regulations,

International Security Technical Report.

[3]

SRPS ISO 27001:2011

[4]

SRPS ISO 27002:2011

[5]

Niki P., (2010), Upravljanje kvalitetom

35