Professional Documents
Culture Documents
Časopis je namijenjen stručnjacima, inžinjerima, studentima i izlazi kvartalno. Svrha časopisa je izvještavanje o istraživanju, naučnom razvoju,
proizvodima i novostima iz svijeta telekomunikacija.
BOSANSKOHERCEGOVAČKO
UDRUŽENJE ZA TELEKOMUNIKACIJE
SARAJEVO
Izdavač/Publisher
Bosanskohercegovačko udruženje
za telekomunikacije
Sažetak 1. UVOD
Sistematičan pristup upravljanju rizikom informacijske sigurnosti potreban je Informacija je imovinu koja, kao i druga
kako bi se identificirale organizacijske potrebe u smislu zahtjeva informacijske važna poslovna imovina, ima vrijednost
sigurnosti i stvorio efikasan sistem za upravljanje informacijskom sigurnošću. za organizaciju te stoga treba biti odgo-
U ovom radu predstavljamo osnove upravljanja rizikom informacijske sigurno- varajuće zaštićena. Informacijska sigur-
sti, zasnovane na međunarodnom ISO 27005:2008 standardu. nost štiti informacije od širokog spektra
prijetnji, kako bi se osigurao kontinuitet
Ključne riječi: rizik, upravljanje rizikom, informacijska sigurnost poslovanja, minimizirale poslovne štete i
Abstarct maksimizirao povrat ulaganja i poslovne
A systematic approach to information security risk management is needed to mogućnosti.
identify organizational needs regarding information security requirements and Informacijska sigurnost se ostvaruje
to create an effective information security management system. In this paper provođenjem odgovarajućeg skupa kon-
we present the basics of information security risk management, based on in- trola, koje mogu biti politike, prakse, pro-
ternational ISO 27005:2008 standard. cedure, organizacione strukture i softver-
ske funkcije. Te kontrole treba da budu
Key words: risk, risk management, information security uspostavljene kako bi se osiguralo da su
sigurnosni ciljevi organizacije postignuti.
Sistematičan pristup upravljanju rizi-
kom informacijske sigurnosti neophodan
je za identifikaciju organizacijskih potre-
ba u odnosu na zahtjeve informacijske si-
gurnosti i za stvaranje efikasnog sistema
upravljanja informacijskom sigurnošću –
(engl. Information Security Management
System – ISMS).
U ovom radu predstavit ćemo osnove
upravljanja rizikom informacijske sigur-
nosti, zasnovano na međunarodnom ISO
27005:2008 standardu.
2. IDENTIFICIRANJE
SIGURNOSNIH
ZAHTJEVA
Za svaku organizaciju je bitno da iden-
tificira svoje sigurnosne zahtjeve. Tri su
glavna izvora sigurnosnih zahtjeva:
– Procjena organizacijskih sigurnosnih
rizika. Kroz procjenu rizika identifici-
raju se prijetnje imovini, ranjivosti, te
procjena vjerovatnosti incidentne po-
jave i njenog potencijalnog utjecaja.
– Zakonski, regulatorni i ugovorni za-
htjevi koje organizacija, njeni trgo-
vački partneri, izvođači i davatelji
usluga moraju zadovoljiti.
– Određeni skup načela, ciljevi i za-
htjevi za obradu informacija koje je
organizacija razvila s ciljem podrške
svom poslovanju.
ISO 27005:2008 definira rizik infor-
macijske sigurnosti kao “potencijal da
će prijetnja iskoristiti ranjivosti imovine
i time uzrokovati štetu za organizaciju”.
TELEKOMUNIKACIJE 9, 30, 2010. 33
Proces upravljanja rizikom informa- – struktura organizacije
cijske sigurnosti može se primijeniti na Identifikacija imovine treba biti izve-
organizaciju kao cjelinu, ili na dio or- dena s odgovarajućim nivoom detalja,
ganizacije (npr. odjel, određenu fizičku koji pruža dovoljno informacija za ocje-
lokaciju, uslugu), bilo koji informacijski nu rizika.
sistem, postojeće, planirane ili pojedine Trebalo bi da vlasnik imovine bude
aspekte kontrola (npr., planiranje poslov- identificiran za svaku imovinu, kako bi se
nog kontinuiteta). osigurala odgovornost za imovinu. Vla-
snik imovine ne mora nužno imati pravno
3. PROCJENA RIZIKA vlasništvo nad imovinom, ali on ima od-
INFORMACIJSKE govornost za njenu proizvodnju, razvoj,
SIGURNOSTI održavanje, korištenje i sigurnost prema
potrebi. Vlasnik imovine je često najpo-
Procjena rizika informacijske sigur-
godnija osoba za utvrđivanje vrijednosti
nosti sastoji se od sljedećih aktivnosti:
imovine za organizaciju.
1. Analize rizika koja obuhvaća:
a) Identifikaciju rizika 3.1.1.2. Identifikacija prijetnji
b) Estimaciju rizika Prijetnja ima potencijal da naškodi imo-
2. Evaluacija rizika vini, kao što su informacije, procesi i
Procjenom rizika određuje se vrijed- sistemi, te stoga i organizaciji. Prijetnje
nost informacijske imovine, identificiraju mogu biti prirodnog ili ljudskog porije-
primjenjive prijetnje i ranjivosti, identifi- kla, te mogu biti slučajne ili namjerne.
ciraju postojeće sigurnosne kontrole i nji- Oba izvora prijetnji, slučajne i namjer-
hov utjecaj na identificirane rizike, odre- ne, treba da budu identificirana. Prijetnja
đuju potencijalne posljedice i konačno može nastati unutar ili izvan organizacije.
određuje prioritet identificiranih rizika. Neke prijetnje mogu utjecati na više
Procjena rizika često se provodi u dvije od jedne imovine. U takvim slučajevima
(ili više) iteracija. one mogu izazvati različite učinke, ovi-
3.1. Analiza rizika sno o tome koja je imovina pogođena.
3.1.1. Identifikacija rizika 3.1.1.3. Identifikacija postojećih
Svrha identifikacije rizika je da se utvrdi kontrola
šta bi se moglo dogoditi da uzrokuje po- Identifikacija postojećih kontrola treba
tencijalni gubitak, te steći uvid u to kako, biti obavljena kako bi se izbjegao ne-
gdje i zašto se može gubitak dogoditi. potrebni posao i/ili troškovi, npr. zbog
dupliciranja kontrola. Osim toga, dok se
3.1.1.1. Identifikacija imovine
identificiraju postojeće kontrole, treba
Imovina je sve što ima vrijednost za or- provjeriti da li te kontrole rade ispravno.
ganizaciju i stoga treba zaštitu. Prilikom Ako kontrola ne radi kako treba, to može
identifikacije imovine treba imati na umu uzrokovati ranjivost.
da informacijski sistem predstavlja više
od pukog skupa hardvera i softvera. 3.1.1.4. Identifikacija ranjivosti
ISO 27005:2008 razlikuje dvije Ranjivosti koje se mogu iskoristiti od pri-
osnovne vrste imovine: jetnji, te time uzrokovati štete za određe-
1. Primarna imovina: nu organizacijsku imovinu, treba da budu
– poslovni procesi i aktivnosti identificirane.
– informacije Ranjivosti mogu biti identificirane u
2. Podržavajuća imovina (na koju se sljedećim područjima:
primarni elementi oslanjaju) svih vrsta: – Organizacija
– hardver – Procesi i procedure
– softver – Upravljačke rutine
– mreže – Osoblje
– osoblje – Fizičko okruženje
– lokacije – Konfiguracija informacijskog sistema
34 TELEKOMUNIKACIJE 9, 30, 2010.
– Hardver, softver i komunikacijska 3.1.2. Estimacija rizika
oprema 3.1.2.1. Metodologija procjene rizika
– Ovisnost o vanjskim strankama
Metodologija procjene rizika može biti
Prisutnost ranjivosti ne uzrokuje štetu
kvalitativna ili kvantitativna, odnosno
sama po sebi, s obzirom na to da mora
njihova kombinacija, ovisno o okolno-
postojati odgovarajuća prijetnja koja je
stima. U praksi, kvalitativna procjena se
može iskoristiti. Ranjivost koja nema od-
često koristi za dobivanje prvog općeg
govarajuću prijetnju može ne zahtijevati
pokazatelja stepena rizika, te kako bi se
provedbu posebne kontrole, ali treba biti
otkrili veliki rizici. Kasnije će možda biti
prepoznata i praćena za slučaj promjena.
potrebno poduzeti određenije ili kvantita-
Treba napomenuti da nepravilno prove-
tivne analize velikih rizika, jer je obično
dena ili neispravana kontrola ili kontrole
manje složeno i manje skupo za izvođe-
koje se koriste na pogrešan način mogu
nje kvalitativne od kvantitativne analize.
biti problem. Kontrola može biti djelo-
tvorna ili nedjelotvorna, ovisno o okruže- 3.1.2.2. Procjena posljedica
nju u kojem djeluje. S druge strane, pri- Utjecaj na poslovanje organizacije, koji
jetnja koja nema odgovarajuću ranjivost, bi mogao proizaći iz mogućeg incidenta
koju može iskoristiti, ne može stvoriti informacijske sigurnosti, treba ocjenjiva-
rizik. ti, uzimajući u obzir posljedice povrede
Ranjivosti mogu biti u vezi sa svoj- informacijske sigurnosti, kao što su gu-
stvima imovine koja se može koristiti na bitak povjerljivosti, integriteta ili dostu-
način, ili za svrhu, različitu od namijenje- pnosti informacijske imovine.
ne ili projektirane. Nakon definiranja cjelokupne imovi-
3.1.1.5. Identifikacija posljedica ne koja je obuhvaćena pregledom, vrijed-
nost tih sredstava treba biti uzeta u obzir
Posljedice koje gubici povjerljivosti, in-
prilikom procjenjivanja posljedica mogu-
tegriteta i dostupnosti mogu imati na in-
ćeg incident-scenarija.
formacijsku imovinu treba da budu iden-
Poslovna vrijednost može se iskazati
tificirane.
u kvalitativnoj i/ili kvantitativnoj formi.
Posljedica može biti gubitak djelo-
Vrednovanje imovine počinje klasi-
tvornosti, nepovoljni uvjeti rada, gubitak
fikacijom imovine prema njenoj kritič-
posla, ugleda, oštećenja i sl.
nosti, u smislu važnosti imovine u ispu-
Identifikacijom posljedica procjenju-
njavanju poslovnih ciljeva organizacije.
je se šteta ili posljedice po organizaciju,
Procjena se zatim obavlja pomoću dviju
koja bi mogla biti uzrokovana incident-
mjera:
scenarijem. Incident-scenarij je opis pri-
– Vrijednost zamjene imovine: trošak
jetnje koja iskorištava određenu ranjivost
povrata, čišćenja i zamjene informa-
ili skup ranjivosti u incidentu informacij-
cije (ako je ikako moguće);
ske sigurnosti.
– Poslovne posljedice gubitka ili kom-
Posljedice mogu biti privremene na-
promisa imovine, kao što su potenci-
ravi ili mogu biti trajne, kao u slučaju
jalne negativne poslovne i/ili pravne ili
uništenja imovine.
regulatorne posljedice otkrivanja, mo-
Organizacije treba da utvrde operativ-
difikacije, nedostupnosti i/ili uništava-
ne posljedice incident-scenarija u smislu
nja informacija i drugih podataka.
(ali ne ograničavajući se na):
Vrednovanje imovine je ključni faktor
– Istraživanje incidenta i vrijeme po-
u procjeni utjecaja incident-scenarija, jer
pravka
incident može utjecati na više od jedne
– (Posao) izgubljeno vrijeme
imovine, ili samo na dio imovine. Razli-
– Izgubljene prilike
čite prijetnje i ranjivosti će imati različite
– Zdravlje i sigurnost
utjecaje na imovinu, kao što su gubitak
– Finansijski troškovi specifičnih vje-
povjerljivosti, integriteta ili dostupnosti.
ština potrebnih za popravak oštećenja
– Ugled