God. 9., br. 30., 2010.

Vol 9, No 30, 2010

Časopis je namijenjen stručnjacima, inžinjerima, studentima i izlazi kvartalno. Svrha časopisa je izvještavanje o istraživanju, naučnom razvoju,
proizvodima i novostima iz svijeta telekomunikacija.

BOSANSKOHERCEGOVAČKO
UDRUŽENJE ZA TELEKOMUNIKACIJE
SARAJEVO

Izdavač/Publisher
Bosanskohercegovačko udruženje
za telekomunikacije

Urednički odbor/Editorials Board

dr. Himzo Bajrić, dipl. ing. el.
dr. Nediljko Bilić, dipl. ing. el.
dr. Mirko Škrbić, dipl. ing. el.
dr. Narcis Behlilović, dipl. ing. el.
mr. Akif Šabić, dipl. ing. el.
mr. Radomir Bašić, dipl. ing. el.
mr. Hamdo Katica, dipl. ing. el.
SADRŽAJ / CONTENTS
mr. Edina Hadžić, dipl. ing. el.
mr. Stipe Prlić, dipl. ing. el. Information Week Business Technology Network:
mr. Džemal Borovina, dipl. ing. el.
Cloud Computing ........................................................................................ 2
Glavni i odgovorni urednik /Editor and Chief
mr. Nedžad Rešidbegović, dipl. ing. el. mr. Haris Lučkin, dipl. ing. el.
Lektor/Linguistic Adviser Evolucija postojećih fiksnih i mobilnih servisa
Indira Pindžo The evolution of the existing fixed and mobile services............. 4
Tehnički urednik/Technical Editor
dr. Jasminko Mulaomerović, dipl. ing. el. Ladislav Schwartz, Ivan Radoš
Software Reliability Prediction.............................................................. 11
Računarska obrada/DTP
Narcis Pozderac, TDP d.o.o. Sarajevo
Nedim Nalo, dipl. ing. el.
Štampa/Printed by MPLS Inžinjering saobraćaja
SaVart
________________________________
MPLS Traffic Engineering ........................................................................ 14
Časopis je evidentiran u evidenciji javnih
glasila pri Ministarstvu obrazovanja, nauke mr. Amir Zukanović, dipl. ing. el.
i informisanja Kantona Sarajevo pod brojem
NKM 42/02. Kriptografski standardi i protokoli
Cryptographic standards and protocols ........................................ 24
Časopis TELEKOMUNIKACIJE u pravilu
izlazi četiri puta godišnje.
Cijena časopisa je 5 KM, za pravna lica mr. Haris Hamidović, dipl. ing. el.
10 KM i za inostranstvo 5 EUR. Upravljanje rizikom informacijske sigurnosti
Račun broj: 1610000031970047 kod
Raiffeisen bank d.d. Sarajevo Information security risk management .......................................... 33
Adresa Uredništva mr. Advija Kulović, dipl. pravnik
Bosanskohercegovačko udruženje
za telekomunikacije Zakon o komunikacijama i zaštita potrošača
Zmaja od Bosne 88 Law on communication and consumers’ protection ............... 39
71000 Sarajevo
web: www.bhtel.ba
E_mail: bhtel@bih.net.ba
Uputstva autorima ..................................................................................... 47
Tel.: 033 205–602 Author’s Guidelines .................................................................................... 48
mr. Haris Hamidović, dipl. ing. el.
Upravljanje rizikom informacijske
sigurnosti
Information security risk management

Sažetak 1. UVOD
Sistematičan pristup upravljanju rizikom informacijske sigurnosti potreban je Informacija je imovinu koja, kao i druga
kako bi se identificirale organizacijske potrebe u smislu zahtjeva informacijske važna poslovna imovina, ima vrijednost
sigurnosti i stvorio efikasan sistem za upravljanje informacijskom sigurnošću. za organizaciju te stoga treba biti odgo-
U ovom radu predstavljamo osnove upravljanja rizikom informacijske sigurno- varajuće zaštićena. Informacijska sigur-
sti, zasnovane na međunarodnom ISO 27005:2008 standardu. nost štiti informacije od širokog spektra
prijetnji, kako bi se osigurao kontinuitet
Ključne riječi: rizik, upravljanje rizikom, informacijska sigurnost poslovanja, minimizirale poslovne štete i
Abstarct maksimizirao povrat ulaganja i poslovne
A systematic approach to information security risk management is needed to mogućnosti.
identify organizational needs regarding information security requirements and Informacijska sigurnost se ostvaruje
to create an effective information security management system. In this paper provođenjem odgovarajućeg skupa kon-
we present the basics of information security risk management, based on in- trola, koje mogu biti politike, prakse, pro-
ternational ISO 27005:2008 standard. cedure, organizacione strukture i softver-
ske funkcije. Te kontrole treba da budu
Key words: risk, risk management, information security uspostavljene kako bi se osiguralo da su
sigurnosni ciljevi organizacije postignuti.
Sistematičan pristup upravljanju rizi-
kom informacijske sigurnosti neophodan
je za identifikaciju organizacijskih potre-
ba u odnosu na zahtjeve informacijske si-
gurnosti i za stvaranje efikasnog sistema
upravljanja informacijskom sigurnošću –
(engl. Information Security Management
System – ISMS).
U ovom radu predstavit ćemo osnove
upravljanja rizikom informacijske sigur-
nosti, zasnovano na međunarodnom ISO
27005:2008 standardu.

2. IDENTIFICIRANJE
SIGURNOSNIH
ZAHTJEVA
Za svaku organizaciju je bitno da iden-
tificira svoje sigurnosne zahtjeve. Tri su
glavna izvora sigurnosnih zahtjeva:
– Procjena organizacijskih sigurnosnih
rizika. Kroz procjenu rizika identifici-
raju se prijetnje imovini, ranjivosti, te
procjena vjerovatnosti incidentne po-
jave i njenog potencijalnog utjecaja.
– Zakonski, regulatorni i ugovorni za-
htjevi koje organizacija, njeni trgo-
vački partneri, izvođači i davatelji
usluga moraju zadovoljiti.
– Određeni skup načela, ciljevi i za-
htjevi za obradu informacija koje je
organizacija razvila s ciljem podrške
svom poslovanju.
ISO 27005:2008 definira rizik infor-
macijske sigurnosti kao “potencijal da
će prijetnja iskoristiti ranjivosti imovine
i time uzrokovati štetu za organizaciju”.
TELEKOMUNIKACIJE 9, 30, 2010. 33
 Proces upravljanja rizikom informa-
cijske sigurnosti može se primijeniti na
organizaciju kao cjelinu, ili na dio or-
ganizacije (npr. odjel, određenu fizičku
lokaciju, uslugu), bilo koji informacijski
sistem, postojeće, planirane ili pojedine
aspekte kontrola (npr., planiranje poslov-
nog kontinuiteta).
3. PROCJENA RIZIKA
INFORMACIJSKE
SIGURNOSTI
Procjena rizika informacijske sigur-
nosti sastoji se od sljedećih aktivnosti:
1. Analize rizika koja obuhvaća:
a) Identifikaciju rizika
b) Estimaciju rizika
2. Evaluacija rizika
Procjenom rizika određuje se vrijed-
nost informacijske imovine, identificiraju
primjenjive prijetnje i ranjivosti, identifi-
ciraju postojeće sigurnosne kontrole i nji-
hov utjecaj na identificirane rizike, odre-
đuju potencijalne posljedice i konačno
određuje prioritet identificiranih rizika.
Procjena rizika često se provodi u dvije
(ili više) iteracija.
3.1. Analiza rizika
3.1.1. Identifikacija rizika
Svrha identifikacije rizika je da se utvrdi
šta bi se moglo dogoditi da uzrokuje po-
tencijalni gubitak, te steći uvid u to kako,
gdje i zašto se može gubitak dogoditi.
3.1.1.1. Identifikacija imovine
Imovina je sve što ima vrijednost za or-
ganizaciju i stoga treba zaštitu. Prilikom
identifikacije imovine treba imati na umu
da informacijski sistem predstavlja više
od pukog skupa hardvera i softvera.
ISO 27005:2008 razlikuje dvije
osnovne vrste imovine:
1. Primarna imovina:
– poslovni procesi i aktivnosti
– informacije
2. Podržavajuća imovina (na koju se
primarni elementi oslanjaju) svih vrsta:
– hardver
– softver
– mreže
– osoblje
– lokacije
34
– struktura organizacije
Identifikacija imovine treba biti izve-
dena s odgovarajućim nivoom detalja,
koji pruža dovoljno informacija za ocje-
nu rizika.
Trebalo bi da vlasnik imovine bude
identificiran za svaku imovinu, kako bi se
osigurala odgovornost za imovinu. Vla-
snik imovine ne mora nužno imati pravno
vlasništvo nad imovinom, ali on ima od-
govornost za njenu proizvodnju, razvoj,
održavanje, korištenje i sigurnost prema
potrebi. Vlasnik imovine je često najpo-
godnija osoba za utvrđivanje vrijednosti
imovine za organizaciju.
3.1.1.2. Identifikacija prijetnji
Prijetnja ima potencijal da naškodi imo-
vini, kao što su informacije, procesi i
sistemi, te stoga i organizaciji. Prijetnje
mogu biti prirodnog ili ljudskog porije-
kla, te mogu biti slučajne ili namjerne.
Oba izvora prijetnji, slučajne i namjer-
ne, treba da budu identificirana. Prijetnja
može nastati unutar ili izvan organizacije.
Neke prijetnje mogu utjecati na više
od jedne imovine. U takvim slučajevima
one mogu izazvati različite učinke, ovi-
sno o tome koja je imovina pogođena.
3.1.1.3. Identifikacija postojećih
kontrola
Identifikacija postojećih kontrola treba
biti obavljena kako bi se izbjegao ne-
potrebni posao i/ili troškovi, npr. zbog
dupliciranja kontrola. Osim toga, dok se
identificiraju postojeće kontrole, treba
provjeriti da li te kontrole rade ispravno.
Ako kontrola ne radi kako treba, to može
uzrokovati ranjivost.
3.1.1.4. Identifikacija ranjivosti
Ranjivosti koje se mogu iskoristiti od pri-
jetnji, te time uzrokovati štete za određe-
nu organizacijsku imovinu, treba da budu
identificirane.
Ranjivosti mogu biti identificirane u
sljedećim područjima:
– Organizacija
– Procesi i procedure
– Upravljačke rutine
– Osoblje
– Fizičko okruženje
– Konfiguracija informacijskog sistema
TELEKOMUNIKACIJE 9, 30, 2010.
– Hardver, softver i komunikacijska 3.1.2. Estimacija rizika
oprema 3.1.2.1. Metodologija procjene rizika
– Ovisnost o vanjskim strankama
Metodologija procjene rizika može biti
Prisutnost ranjivosti ne uzrokuje štetu
kvalitativna ili kvantitativna, odnosno
sama po sebi, s obzirom na to da mora
njihova kombinacija, ovisno o okolno-
postojati odgovarajuća prijetnja koja je
stima. U praksi, kvalitativna procjena se
može iskoristiti. Ranjivost koja nema od-
često koristi za dobivanje prvog općeg
govarajuću prijetnju može ne zahtijevati
pokazatelja stepena rizika, te kako bi se
provedbu posebne kontrole, ali treba biti
otkrili veliki rizici. Kasnije će možda biti
prepoznata i praćena za slučaj promjena.
potrebno poduzeti određenije ili kvantita-
Treba napomenuti da nepravilno prove-
tivne analize velikih rizika, jer je obično
dena ili neispravana kontrola ili kontrole
manje složeno i manje skupo za izvođe-
koje se koriste na pogrešan način mogu
nje kvalitativne od kvantitativne analize.
biti problem. Kontrola može biti djelo-
tvorna ili nedjelotvorna, ovisno o okruže- 3.1.2.2. Procjena posljedica
nju u kojem djeluje. S druge strane, pri- Utjecaj na poslovanje organizacije, koji
jetnja koja nema odgovarajuću ranjivost, bi mogao proizaći iz mogućeg incidenta
koju može iskoristiti, ne može stvoriti informacijske sigurnosti, treba ocjenjiva-
rizik. ti, uzimajući u obzir posljedice povrede
Ranjivosti mogu biti u vezi sa svoj- informacijske sigurnosti, kao što su gu-
stvima imovine koja se može koristiti na bitak povjerljivosti, integriteta ili dostu-
način, ili za svrhu, različitu od namijenje- pnosti informacijske imovine.
ne ili projektirane. Nakon definiranja cjelokupne imovi-
3.1.1.5. Identifikacija posljedica ne koja je obuhvaćena pregledom, vrijed-
nost tih sredstava treba biti uzeta u obzir
Posljedice koje gubici povjerljivosti, in-
prilikom procjenjivanja posljedica mogu-
tegriteta i dostupnosti mogu imati na in-
ćeg incident-scenarija.
formacijsku imovinu treba da budu iden-
Poslovna vrijednost može se iskazati
tificirane.
u kvalitativnoj i/ili kvantitativnoj formi.
Posljedica može biti gubitak djelo-
Vrednovanje imovine počinje klasi-
tvornosti, nepovoljni uvjeti rada, gubitak
fikacijom imovine prema njenoj kritič-
posla, ugleda, oštećenja i sl.
nosti, u smislu važnosti imovine u ispu-
Identifikacijom posljedica procjenju-
njavanju poslovnih ciljeva organizacije.
je se šteta ili posljedice po organizaciju,
Procjena se zatim obavlja pomoću dviju
koja bi mogla biti uzrokovana incident-
mjera:
scenarijem. Incident-scenarij je opis pri-
– Vrijednost zamjene imovine: trošak
jetnje koja iskorištava određenu ranjivost
povrata, čišćenja i zamjene informa-
ili skup ranjivosti u incidentu informacij-
cije (ako je ikako moguće);
ske sigurnosti.
– Poslovne posljedice gubitka ili kom-
Posljedice mogu biti privremene na-
promisa imovine, kao što su potenci-
ravi ili mogu biti trajne, kao u slučaju
jalne negativne poslovne i/ili pravne ili
uništenja imovine.
regulatorne posljedice otkrivanja, mo-
Organizacije treba da utvrde operativ-
difikacije, nedostupnosti i/ili uništava-
ne posljedice incident-scenarija u smislu
nja informacija i drugih podataka.
(ali ne ograničavajući se na):
Vrednovanje imovine je ključni faktor
– Istraživanje incidenta i vrijeme po-
u procjeni utjecaja incident-scenarija, jer
pravka
incident može utjecati na više od jedne
– (Posao) izgubljeno vrijeme
imovine, ili samo na dio imovine. Razli-
– Izgubljene prilike
čite prijetnje i ranjivosti će imati različite
– Zdravlje i sigurnost
utjecaje na imovinu, kao što su gubitak
– Finansijski troškovi specifičnih vje-
povjerljivosti, integriteta ili dostupnosti.
ština potrebnih za popravak oštećenja
– Ugled

TELEKOMUNIKACIJE 9, 30, 2010. 35

 3.1.2.3. Nivo procjene rizika
Nakon utvrđivanja incident-scenarija,
potrebno je procijeniti vjerovatnost sva-
kog incident-scenarija i utjecaja incident-
događaja, koristeći kvalitativne ili kvan-
titativne tehnike procjene.
Procjena rizika dodjeljuje vrijedno-
sti vjerovatnosti i posljedici rizika. Ove
vrijednosti mogu biti kvantitativne ili
kvalitativne. Procjena rizika temelji se na
procjeni posljedica i vjerovatnosti. Proci-
jenjeni rizik je kombinacija vjerovatnosti
incident-scenarija i njegove posljedice.
3.2. Evaluacija rizika
Kriteriji evaluacije rizika koriste se kako
bi se donijele odluke u skladu s defini-
ranim vanjskim i unutarnjim kontekstom
upravljanja rizikom informacijske sigur-
nosti, a uzimajući u obzir ciljeve organi-
zacije.
Odluka treba sadržavati odgovore na
sljedeća pitanja:
– Da li je potrebno poduzeti određene
aktivnosti;
– Prioritete za obradu rizika s obzirom
na procijenjeni nivo rizika.
Tijekom faze procjene rizika, ugovor-
ni, pravni i regulatorni zahtjevi su faktori
koje obavezno treba uzeti u obzir.
4. TRETMAN RIZIKA
Četiri su generalne opcije dostupne za
tretman rizika:
– Smanjenje rizika – aktivnosti koje su
poduzete kako bi se umanjila vjero-
vatnost, negativne posljedice, ili obo-
je, povezane s rizikom;
– Zadržavanja rizika – prihvaćanje tere-
ta gubitka;
– Izbjegavanje rizika – odluka da se ne
obavljaju određene operacije poveza-
ne s rizičnim situacijama;
– Prijenos rizika – dijeljenje s drugom
stranom mogućeg tereta gubitka.
Opcije tretmana rizika treba da budu
odabrane na temelju rezultata procjene
rizika, očekivanih troškova za provedbu
ovih opcija i očekivane koristi od izbora
odgovarajuće opcije.
Općenito, štetne posljedice rizika
trebalo bi da budu što je moguće manje.
Menadžeri bi trebalo da razmotre rijetke,
36
ali ozbiljne rizike. U takvim slučajevima,
kontrole koje nisu opravdane na temelju
strogo ekonomskog aspekta mogu biti
potrebne (naprimjer, kontrola kontinuite-
ta poslovanja radi pokrivanja određenih
visokih rizika).
Četiri opcije za tretman rizik među-
sobno se ne isključuju. Ponekad organi-
zacija može imati koristi od kombinacije
različitih opcija tretmana rizika.
Neki tretmani opasnosti mogu efika-
sno adresirati više rizika (npr., obuka i
svijest o informacijskoj sigurnosti).
5. PRIHVAĆANJE RIZIKA
INFORMACIJSKE
SIGURNOSTI
Planovi tretmana rizika treba da opišu
kako se procijenjeni rizici tretiraju, da bi
zadovoljili kriterije prihvaćanja. Važno je
da rukovodstvo organizacije pregleda i
odobri predložene planove tretmana rizi-
ka i rezultirajuće zaostale rizike, te da se
dokumentiraju uvjeti povezani s takvim
odobrenjem.
Kriteriji prihvatljivosti rizika mogu
biti složeniji od pukog utvrđivanja da li
se ili ne preostali rizik nalazi iznad ili is-
pod praga prihvatljivosti.
Aktivnost prihvaćanja rizika mora
osigurati da su preostali rizici izričito pri-
hvaćeni od rukovodstva organizacije. To
je osobito važno u situaciji u kojoj je pro-
vedba kontrole izostavljena ili odgođena,
npr., zbog cijene.
6. KOMUNIKACIJA
Efektivna komunikacija među strankama
s interesom je važna, jer ona može imati
značajan utjecaj na odluke koje se mora-
ju izvršiti. Komunikacija će osigurati da
osobe odgovorne za provedbu upravlja-
nja rizikom, te stranke s interesom, razu-
miju osnovu na kojoj se donose odluke
i zašto su određene akcije potrebne. Ko-
munikacija je dvosmjerna.
7. ZAKLJUČAK
S obzirom na to da se unutar organiza-
cijskih informacijskih sistema sve više
prikupljaju, obrađuju, pohranjuju i raz-
mjenjuju podaci i informacije od vital-
nog interesa za organizaciju čiji su dio,
TELEKOMUNIKACIJE 9, 30, 2010.
a nerijetko i od šireg društvenog interesa,
njihov nesmetan rad postaje preduvje-
tom, ne samo njihovog funkcioniranja
već sve više i cijelog društva, koje se na
njih sve više oslanja. Budući da je to mo-
guće postići samo ako postoji zadovolja-
vajući stepen njihove sigurnosti, načelo
sigurnosti je jedan od temelja njihovog
rada.
Svaka organizacija bi trebalo da oba-
vi analizu rizika informacijske sigurnosti,
dokumentira rezultate analize, te imple-
mentira odgovarajuće sigurnosne mjere.
TELEKOMUNIKACIJE 9, 30, 2010.
Procjenom rizika određuje se vrijed-
nost informacijske imovine, identificiraju
primjenjive prijetnje i ranjivosti, identifi-
ciraju postojeće sigurnosne kontrole i nji-
hov utjecaj na identificirane rizike, odre-
đuju potencijalne posljedice i konačno
određuje prioritet identificiranih rizika.
Rizici nisu statični. Prijetnje, ranji-
vosti, vjerovatnosti ili posljedice mogu
se promijeniti naglo bez nagovještaja o
promjeni. Proces upravljanja rizikom in-
formacijske sigurnosti stoga treba stalno
pratiti, pregledati i poboljšavati.
LITERATURA:
[1] ISO/IEC 27001:2005 – Specifica-
tion for Information Security Manage-
ment
[2] ISO/IEC 27002:2005 – Code of
practice for Information Security Ma-
nagement
[3] ISO/IEC 27005:2008 – Informati-
on security risk management
37