Professional Documents
Culture Documents
2.2.
2.3.
3.2.
Kontrole ........................................................................................................................... 14
3.3.
Metrika............................................................................................................................. 18
4. Zakljuak ................................................................................................................................. 19
Literatura ........................................................................................................................................ 20
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 2 od 22
Saetak:
U radu se analizira podruje upravljanja
informacijskim
sustavima
i
upravljanje
informacijskom sigurnou, razmatra metode i
modele koji se koriste i usporeuje slinost
pristupa u podruju sustavskog inenjerstva i
sigurnosnog inenjerstva. Opisuje se vanost
ivotnog ciklusa razvoja sustava, arhitekture
informacijskih sustava, modela zrelosti sustava,
upravljanja rizikom, odabira sigurnosnih kontrola
i primjene metrika, kako za sustavsko, tako i za
sigurnosno inenjerstvo.
Kljune rijei:
Informacijski sustav, informacijska sigurnost,
upravljanje, ivotni ciklus razvoja sustava,
sustavsko, sigurnosno i programsko inenjerstvo,
arhitektura informacijskog sustava, model zrelosti
sustava, upravljanje rizikom, operativni rizik,
sigurnosne i IT kontrole, metrika
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 3 od 22
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 4 od 22
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 5 od 22
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 6 od 22
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 7 od 22
Vrijednosti
Motivacija
Proces
Osobe
Lokacija
Rokovi
(to?)
(Zato?)
(Kako?)
(Tko?)
(Gdje?)
(Kada?)
Kontekstualni
Poslovanje
Model poslovnog
rizika
Model poslovnog
procesa
Poslovna
organizacija i svi
povezani
Geografija
poslovanja
Ovisno o
poslovnim
rokovima
Konceptualni
Profil poslovnih
atributa (tiene
vrijednosti)
Upravljaki
ciljevi
Sigurnosna
strategija i
arhitektonski
slojevi
Model
sigurnosnog
entiteta i okvir
povjerenja
Model
sigurnosne
domene
Sigurnosno
povezani ivotni
ciklus i rokovi
Logiki
Model poslovnih
informacija
Sigurnosne
politike
Sigurnosni
servisi
Shema entiteta i
profila
prava/privilegija
Definicija
sigurnosne
domene i
poveznica
Ciklus
sigurnosnog
procesa
Fiziki
Poslovni
podatkovni
model
Sigurnosna
pravila, prakse i
procedure
Sigurnosni
mehanizmi
Korisnici,
aplikacije i
korisniko
suelje
Platforma i
mrena
infrastruktura
Provedba
upravljake
strukture
Komponentni
Detaljne
podatkovne
strukture
Sigurnosni
standardi
Sigurnosni
proizvodi i alati
Identiteti,
funkcije, akcije i
ACL-ovi
Procesi, vorovi,
adrese i protokoli
Rokovi
sigurnosnih
koraka i sekvenci
Operativni
Osiguravanje
operacijskog
kontinuiteta
Upravljanje
operativnim
rizicima
Upravljanje i
podrka
sigurnosnih
servisa
Upravljanje i
podrka
aplikacijama i
korisnicima
Sigurnost
vorova, mrea i
platformi
Plan sigurnosnih
operacija
Pogled:
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 8 od 22
Slika 13. Sigurnost u kontekstu ivotnog ciklusa razvoja informacijskog sustava temeljenog na SOA-i
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 9 od 22
povjerenja
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 10 od 22
Slika 14. Integracija sigurnosnog inenjerstva u ivotni ciklus sustavskog inenjerstva u svrhu omoguavanja
uspjene primjene osiguravanja informacija
3. Upravljanje informacijskim
sustavima i upravljanje
informacijskom sigurnou
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 11 od 22
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 12 od 22
smanjenje,
1.
2.
3.
4.
Poetni zahtjevi
Karakteristika faze
Izraava se potreba te
dokumentira namjena i opseg IT
sustava
IT sustav je projektiran,
nabavljen, programiran, razvijen
ili na drugi nain konstruiran
Izvedba
Primjena i
odravanje
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 13 od 22
5.
Odlaganje
promjenama organizacijskih
procesa, politika i procedura.
temeljnim
konceptima
pristupa
politici
informacijske sigurnosti, odnosno upravljanja
informacijskom sigurnou.
Tradicionalni pristup upravljanju informacijskom
sigurnou temelji se na propisivanju minimalnih
sigurnosnih mjera, koje su utvrene prema
stupnjevima tajnosti podataka. To znai da se
mjere zatite primjenjuju na klasificirani podatak u
bilo kojem obliku, odnosno na objekte (tehnologija
i procesi) i subjekte (osobe) koji koriste ili
pristupaju tim klasificiranim podacima. Ovakav
pristup se primarno primjenjuje u okviru
organizacija koje koriste klasificirane podatke
(dravni sektor i pravne osobe koje s njim
surauju) te podrazumijeva da je klasificirani
podatak iskljuivi objekt zatite, a sama metoda se
primjenjuje na ljude, organizaciju (procese) i na
tehnologiju, kada i ako su u doticaju s
klasificiranim podacima [28]. Dakle, moe se rei
da definicija operativnog rizika u dobroj mjeri
odgovara i riziku klasificiranih podataka u
dravnom sektoru, odnosno tradicionalnom
pristupu u kojem se prijetnje promatra kroz
skupine nezgoda, otkaza i napada.
Metode upravljanja rizicima u okviru suvremenog
pristupa upravljanju informacijskom sigurnou,
temelje se na identificiranoj imovini unutar opsega
sustava upravljanja informacijskom sigurnou
(ISMS), zatim na identificiranim prijetnjama za tu
imovinu, identificiranim ranjivostima koje bi ove
prijetnje mogle iskoristiti te na procjeni utjecaja
koje gubitak povjerljivosti, cjelovitosti ili
raspoloivosti moe imati na imovinu. Sigurnosne
kontrole (zatitne mjere) tite identificiranu
imovinu, tj. vrijednosti koje je organizacija
identificirala u okviru opsega ISMS-a. I ovdje se
moe rei da definicija operativnog rizika
odgovara metodi razvoja ISMS-a.
U osnovi, ovako definirani operativni rizici
predstavljaju sveobuhvatno vienje prijetnji, bilo
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 14 od 22
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 15 od 22
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 16 od 22
Slika 20. Utjecaj razliitih razina zakonskog i regulativnog okvira informacijske sigurnosti na razvoj unutarnje
1
politike informacijske sigurnosti pravne osobe
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 17 od 22
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 18 od 22
3.3. Metrika
Tradicionalni pristup upravljanju informacijskom
sigurnou primjenom minimalnih sigurnosnih
procedura (engl. baseline procedures), nastao je i
uspjeno se mogao primjenjivati u zatvorenim
informacijskim okruenjima s jasno profiliranim i
simetrinim prijetnjama. Suvremene norme poput
ISO/IEC 27001 daju iroke okvire za razvoj
programa informacijske sigurnosti u razliitim
institucijama i sektorima. Norma ISO/IEC 27001,
za razliku od minimalnih sigurnosnih procedura
koje predstavljaju statiki pristup mjerama zatite
(fiksno utvren i neovisan o okolini), koristi
procjenu rizika i dinamiki pristup sigurnosnoj
okolini u kojoj se ISMS ostvaruje, u skladu s
provedenom procjenom rizika u konkretnom
sigurnosnom okruenju. Zahtjevi korporativnog
upravljanja i usklaivanja poslovnih ciljeva sa
sigurnosnim programima trae daljnji iskorak u
metodama, prvenstveno u smjeru sustavnog
mjerenja parametara na taktikoj i osobito
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 19 od 22
4. Zakljuak
Upravljanje informacijskim sustavom i upravljanje
sigurnou informacijskog sustava uobiajeno se
promatra u okviru ivotnog ciklusa informacijskog
sustava te ih je nuno promatrati integrirano.
Gledano iz kuta projekta razvoja ili uvoenja
informacijskog sustava, sigurnost takoer nije
mogue promatrati izdvojeno kao dodatnu
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 20 od 22
Literatura
[1]
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 21 od 22
[32]
Hrvatska
narodna
banka
HNB,
http://www.hnb.hr/propisi/hpropisi.htm
[44]
Jansen, W., Directions in Security Metrics
Research, National Institut of Standards and
Technology, NIST, NISTIR 7564, April 2009
[45]
Brotby, W. Krag, Information Security
Management Metrics, CRC Press, Auerbach,
2009
Usporedba koncepata i metoda koje se koriste u podrujima upravljanja informacijskim sustavima i upravljanja
informacijskom sigurnou
Strana 22 od 22