Professional Documents
Culture Documents
ISO/IEC
27001:2005
Informacione tehnologije – Tehnike zaštite – Sistemi upravljanja zaštitom
informacija – Zahtevi
ISO/IEC
17799:2005
Informacione tehnologije – Tehnike zaštite – Praktična uputstva za
upravljanje zaštitom informacija
08
Sadrža
SADRŽAJ......................................................................................................................................0
PREDGOVOR...............................................................................................................................1
0. UVOD...................................................................................................................................1
0.1. Opšte...........................................................................................................................................1
0.2. Procesni pristup...........................................................................................................................2
0.3. Kompatibilnost sa drugim upravljačkim sistemima.....................................................................4
INFORMACIONE TEHNOLOGIJE – TEHNIKE ZAŠTITE – SISTEMI UPRAVLJANJA ZAŠTITOM
INFORMACIJA – ZAHTEVI...........................................................................................................5
1. OBIM....................................................................................................................................5
1.1. Opšte...........................................................................................................................................5
1.2. Primena.......................................................................................................................................5
2. NORMATIVNE REFERENCE...................................................................................................6
3. TERMINI I DEFINICIJE...........................................................................................................6
3.1. Asset (Vrednost/Imovina)............................................................................................................6
3.2. Availability (Raspoloživost)..........................................................................................................6
3.3. Confidentiality (Poverljivost)........................................................................................................6
3.4. Information security (Zaštita informacija)...................................................................................6
3.5. Information security event (Bezbednosni događaj).....................................................................7
3.6. Information security incident (Bezbednosni incident).................................................................7
3.7. Information security management system ISMS (Sistem upravljanja zaštitom informacija –
ISMS) 7
3.8. Integrity (Integritet).....................................................................................................................7
3.9. Residual risk (Preostali rizik)........................................................................................................8
3.10. Risk acceptance (Prihvatanje rizika)..........................................................................................8
3.11. Risk analysis (Analiza rizika).......................................................................................................8
3.12. Risk assessment (Procena rizika)...............................................................................................8
3.13. Risk evaluation (Evaluacija rizika)..............................................................................................8
3.14. Risk management (Upravljanje rizikom)....................................................................................8
3.15. Risk treatment (Tretiranje rizika)...............................................................................................8
3.16. Statement of applicability (Izjava o primenjivosti – SOA)..........................................................8
4. SISTEM UPRAVLJANJA ZAŠTITOM INFORMACIJA................................................................9
4.1. Opšti zahtevi................................................................................................................................9
4.2. Uspostavljanje i upravljanje ISMS................................................................................................9
4.2.1. Uspostavljanje ISMS.................................................................................................................9
4.2.2. Implementacija i rad ISMS......................................................................................................11
4.2.3. Monitoring i revizija ISMS.......................................................................................................12
4.2.4. Održavanje i poboljšavanje ISMS............................................................................................13
4.3. Zahtevi dokumentacije..............................................................................................................13
4.3.1. Opšte......................................................................................................................................13
4.3.2. Kontrola dokumentacije.........................................................................................................14
4.3.3. Kontrola zapisa.......................................................................................................................14
5. ODGOVORNOSTI MENADŽMENTA....................................................................................15
5.1. Angažovanje menadžmenta......................................................................................................15
5.2. Upravljanje resursima................................................................................................................15
5.2.1. Obezbeđenje resursa..............................................................................................................15
5.2.2. Obuka, svest i stručnost..........................................................................................................16
6. INTERNI AUDITI ISMS SISTEMA.........................................................................................16
7. MENADŽERSKA REVIZIJA ISMS..........................................................................................17
7.1. Opšte.........................................................................................................................................17
7.2. Ulazi revizije...............................................................................................................................17
7.3. Izlazi revizije...............................................................................................................................17
8. POBOLJŠAVANJE ISMS.......................................................................................................18
8.1. Kontinualno poboljšavanje........................................................................................................18
8.2. Korektivne akcije.......................................................................................................................18
8.3. Preventivne akcije......................................................................................................................18
ANNEX A...................................................................................................................................20
ANNEX B...................................................................................................................................28
ANNEX C...................................................................................................................................29
BIBLIOGRAFIJA..........................................................................................................................34
ISO/IEC 17799:2005...................................................................................................................1
0. UVOD...................................................................................................................................1
0.1. Šta je bezbednost informacija?....................................................................................................1
0.2. Zašto je potrebna bezbednost informacija..................................................................................1
0.3. Kako uspostaviti zahteve za bezbednost.....................................................................................2
0.4. Ocenjivanje rizika po sigurnost....................................................................................................2
0.5. Odabiranje kontrola.....................................................................................................................2
0.6. Polazna tačka u sigurnosti informacija.........................................................................................3
0.7. Kritični faktori uspeha..................................................................................................................3
0.8. Izrada sopstvenih smernica i uputstava.......................................................................................4
INFORMACIONE TEHNOLOGIJE – TEHNIKE ZAŠTITE – PRAKTIČNA UPUTSTVA ZA
UPRAVLJANJE ZAŠTITOM INFORMACIJA....................................................................................5
1. PREDMET I PODRUČJE PRIMENE.........................................................................................5
2. TERMINI I DEFINICIJE...........................................................................................................5
2.1. Asset (Imovina)............................................................................................................................5
2.2. Control (Kontrola)........................................................................................................................5
2.3. Guideline (Smernica)...................................................................................................................5
2.4. Information processing facilities (Sredstva za procesiranje informacija)....................................5
2.5. Information security (Sigurnost informacija)...............................................................................6
2.6. Information security event (Događaj u vezi sigurnosti informacija)............................................6
2.7. Information security incident (Incident narušavanja sigurnosti informacija)..............................6
2.8. Policy (Politika)............................................................................................................................6
2.9. Risk (Rizik)....................................................................................................................................6
2.10. Risk analysis (Analiza rizika).......................................................................................................6
2.11. Risk assessment (Ocenjivanje rizika)..........................................................................................6
2.12. Risk evaluation (Evaluacija rizika)..............................................................................................6
2.13. Risk management (Upravljanje rizicima)...................................................................................7
2.14. Risk treatment (Postupanje sa rizicima)....................................................................................7
2.15. Third party (Treća strana)..........................................................................................................7
2.16. Threat (Pretnja).........................................................................................................................7
2.17. Vulnerability (Ranjivost)............................................................................................................7
3. STRUKTURA OVOG STANDARDA.........................................................................................7
3.1. Poglavlja......................................................................................................................................7
3.2. Glavne kategorije sigurnosti........................................................................................................8
4. OCENJIVANJE I POSTUPANJE SA RIZICIMA..........................................................................8
4.1. Ocenjivanje rizika po sigurnost....................................................................................................8
4.2. Postupanje sa rizicima po sigurnost.............................................................................................9
5. POLITIKA ZAŠTITE..............................................................................................................10
5.1. Politika zaštite informacija.........................................................................................................10
5.1.1. Dokument politike zaštite informacija....................................................................................10
5.1.2. Revizija dokumenta politike zaštite informacija.....................................................................11
6. ORGANIZACIJA ZAŠTITE INFORMACIJA.............................................................................12
6.1. Interna organizacija...................................................................................................................12
6.1.1. Angažovanje menadžmenta u zaštiti informacija...................................................................12
6.1.2. Koordinisanje zaštitom informacija........................................................................................13
6.1.3. Dodeljivanje odgovornosti u zaštiti informacija......................................................................14
6.1.4. Autorizacioni proces na sredstvima za obradu informacija....................................................14
6.1.5. Sporazumi o poverljivosti.......................................................................................................15
6.1.6. Kontakt s nadležnim telima....................................................................................................16
6.1.7. Kontakti sa posebnim interesnim grupama............................................................................16
6.1.8. Nezavisne revizije zaštite informacija.....................................................................................17
6.2. Spoljne strane............................................................................................................................17
6.2.1. Identifikacija rizika koji se odnose na spoljne strane..............................................................18
6.2.2. Uključivanje bezbednosti u poslove sa klijentima...................................................................19
6.2.3. Uključivanje bezbednosti u ugovore sa trećim stranama.......................................................21
7. UPRAVLJANJE IMOVINOM.................................................................................................23
7.1. Odgovornost za imovinu............................................................................................................23
7.1.1. Inventar imovine.....................................................................................................................23
7.1.2. Vlasništvo imovine..................................................................................................................25
7.1.3. Prihvatljvo korišćenje imovine................................................................................................26
7.2. Klasifikacija informacija.............................................................................................................26
7.2.1. Smernice za klasifikaciju.........................................................................................................26
7.2.2. Označavanje i postupanje sa informacijama...........................................................................27
8. BEZBEDNOST LJUDSKIH RESURSA.....................................................................................28
8.1. Pre zaposlenja............................................................................................................................28
8.1.1. Uloge i odgovornosti...............................................................................................................28
8.1.2. Izbor kandidata.......................................................................................................................29
8.1.3. Uslovi za zapošljavanje...........................................................................................................30
8.2. Tokom zaposlenja......................................................................................................................31
8.2.1. Odgovornosti menadžmenta..................................................................................................31
8.2.2. Obrazovanje, obuka i razvoj svesti o potrebi zaštite informacija............................................31
8.2.3. Disciplinski postupak..............................................................................................................32
8.3. Prekid ili promena zaposlenja....................................................................................................33
8.3.1. Odgovornosti po prestanku ili promeni zaposlenja................................................................33
8.3.2. Vraćanje imovine....................................................................................................................33
8.3.3. Ukidanje prava pristupa..........................................................................................................34
9. FIZIČKA ZAŠTITA I ZAŠTITA RADNOG OKRUŽENJA.............................................................35
9.1. Obezbeđena područja...............................................................................................................35
9.1.1. Granice fizičke zaštite.............................................................................................................35
9.1.2. Kontrole fizičkog ulaza............................................................................................................36
9.1.3. Zaštita kancelarija, prostorija i sredstava................................................................................37
9.1.4. Zaštita od prirodnih i spoljnjih pretnji.....................................................................................37
9.1.5. Rad u zaštićenim područjima..................................................................................................37
9.1.6. Područja za javni pristup, isporuku i utovar............................................................................38
9.2. Zaštita opreme...........................................................................................................................38
9.2.1. Smeštaj i zaštita opreme.........................................................................................................39
9.2.2. Sredstva za podršku................................................................................................................39
9.2.3. Zaštita kablova........................................................................................................................40
9.2.4. Održavanje opreme................................................................................................................41
9.2.5. Zaštita izmeštene opreme......................................................................................................41
9.2.6. Bezbedno rashodovanje ili ponovno korišćenje opreme........................................................42
9.2.7. Izmeštanje imovine.................................................................................................................42
10. UPRAVLJANJE KOMUNIKACIJAMA I OPERATIVNIM RADOM..........................................43
10.1. Operativne procedure i odgovornosti......................................................................................43
10.1.1. Dokumentovane operativne procedure...............................................................................43
10.1.2. Upravljanje promenama.......................................................................................................44
10.1.3. Razdvajanje zaduženja..........................................................................................................45
10.1.4. Razdvajanje razvojne, testne i operativne opreme...............................................................45
10.2. Upravljanje uslugama treće strane..........................................................................................46
10.2.1. Pružanje usluga.....................................................................................................................46
10.2.2. Monitoring i revizija usluga treće strane..............................................................................47
10.2.3. Upravljanje promenama usluga treće strane........................................................................48
10.3. Planiranje i prihvatanje sistema...............................................................................................48
10.3.1. Upravljanje kapacitetom.......................................................................................................48
10.3.2. Prihvatanje sistema..............................................................................................................49
10.4. Zaštita od malicioznih i mobilnih kodova.................................................................................50
10.4.1. Kontrole protiv malicioznih kôdova......................................................................................50
10.4.2. Kontrole mobilnih kôdova....................................................................................................51
10.5. Rezervne kopije (Back-up).......................................................................................................52
10.5.1. Rezervne kopije informacija.................................................................................................52
10.6. Upravljanje zaštitom mreže.....................................................................................................53
10.6.1. Kontrole mreže.....................................................................................................................53
10.6.2. Servisi zaštite mreža.............................................................................................................54
10.7. Rukovanje medijumima...........................................................................................................54
10.7.1. Upravljanje prenosivim medijumima....................................................................................54
10.7.2. Rashodovanje medijuma......................................................................................................55
10.7.3. Procedure za postupanje sa informacijama..........................................................................56
10.7.4. Zaštita sistemske dokumentacije..........................................................................................56
10.8. Razmena informacija...............................................................................................................57
10.8.1. Politike i procedure kod razmene informacija......................................................................57
10.8.2. Sporazumi o razmeni............................................................................................................59
10.8.3. Fizički medijumi u tranzitu....................................................................................................60
10.8.4. Elektronske poruke...............................................................................................................60
10.8.5. Poslovni informacioni sistemi...............................................................................................61
10.9. Usluge elektronske trgovine....................................................................................................62
10.9.1. Elektronska trgovina.............................................................................................................62
10.9.2. On-line transakcije................................................................................................................63
10.9.3. Javno dostupne informacije..................................................................................................64
10.10. Monitoring.............................................................................................................................64
10.10.1. Audit logovi.........................................................................................................................65
10.10.2. Monitoring korišćenja sistema............................................................................................65
10.10.3. Zaštita informacija u zapisima............................................................................................67
10.10.4. Logovi administratora i operatera......................................................................................67
10.10.5. Logovi neispravnosti...........................................................................................................68
10.10.6. Sinhronizacija časovnika.....................................................................................................68
11. KONTROLA PRISTUPA......................................................................................................69
11.1. Poslovni zahtevi za kontrolu pristupa......................................................................................69
11.1.1. Politika kontrole pristupa.....................................................................................................69
11.2. Upravljanje korisničkim pristupom..........................................................................................70
11.2.1. Registrovanje korisnika.........................................................................................................70
11.2.2. Upravljanje privilegijama......................................................................................................71
11.2.3. Upravljanje korisničkim lozinkama.......................................................................................72
11.2.4. Revizija prava korisničkog pristupa.......................................................................................73
11.3. Odgovornosti korisnika............................................................................................................73
11.3.1. Korišćenje lozinke.................................................................................................................73
11.3.2. Korisnička oprema bez nadzora............................................................................................74
11.3.3. Politika praznog stola i ekrana..............................................................................................75
11.4. Kontrola mrežnog pristupa......................................................................................................76
11.4.1. Politika korišćenja mrežnih servisa.......................................................................................76
11.4.2. Autentifikacija udaljenih korisnika........................................................................................76
11.4.3. Identifikacija mrežnih uređaja..............................................................................................77
11.4.4. Sprečavanje udaljene analize i konfiguracije portova...........................................................78
11.4.5. Razdvajanje u mrežama........................................................................................................78
11.4.6. Kontrola mrežne konekcije...................................................................................................79
11.4.7. Kontrola rutiranja mreže......................................................................................................80
11.5. Kontrola pristupa operativnom sistemu..................................................................................80
11.5.1. Bezbednosne log-on procedure............................................................................................81
11.5.2. Identifikacija i autentifikacija korisnika.................................................................................82
11.5.3. Sistem upravljanja lozinkama...............................................................................................82
11.5.4. Korišćenje sistemskih alata (system utility)..........................................................................83
11.5.5. Time-out sesije.....................................................................................................................84
11.5.6. Ograničavanje trajanja konekcije..........................................................................................84
11.6. Kontrola pristupa aplikacijama i informacijama......................................................................85
11.6.1. Restrikcije na pristup informacijama....................................................................................85
11.6.2. Izolacija osetljivih sistema....................................................................................................86
11.7. Prenosivi računarski uređaji i rad sa udaljenosti (teleworking)...............................................86
11.7.1. Rad i komunikacije sa prenosivim računarskim uređajima...................................................86
11.7.2. Rad sa udaljenosti (Teleworking)..........................................................................................88
12. AKVIZICIJA, RAZVOJ I ODRŽAVANJE INFORMACIONIH SISTEMA.....................................89
12.1. Bezbednosni zahtevi za informacione sisteme........................................................................89
12.1.1. Analiza i specifikacija bezbednosnih zahteva........................................................................89
12.2. Ispravna obrada u aplikacijama...............................................................................................90
12.2.1. Validacija ulaznih podataka..................................................................................................90
12.2.2. Kontrola interne obrade.......................................................................................................91
12.2.3. Integritet poruka...................................................................................................................92
12.2.4. Validacija izlaznih podataka..................................................................................................92
12.3. Kriptografske kontrole.............................................................................................................93
12.3.1. Politika korišćenja kriptografskih kontrola............................................................................93
12.3.2. Upravljanje ključevima.........................................................................................................94
12.4. Zaštita sistemskih fajlova.........................................................................................................96
12.4.1. Kontrola operativnog softvera..............................................................................................96
12.4.2. Zaštita podataka za testiranje sistema..................................................................................97
12.4.3. Kontrola pristupa izvornim programskim kodovima.............................................................98
12.5. Zaštita procesa razvoja i podrške.............................................................................................99
12.5.1. Procedure za kontrolu promena...........................................................................................99
12.5.2. Tehničke revizije aplikacija nakon izmena na operativnom sistemu...................................100
12.5.3. Restrikcije na izmene softverskih paketa............................................................................100
12.5.4. Curenje informacija............................................................................................................101
12.5.5. Razvoj softvera van organizacije (outsourcing)...................................................................101
12.6. Upravljanje tehničkom ranjivošću.........................................................................................102
12.6.1. Kontrola tehničkih ranjivosti...............................................................................................102
13. UPRAVLJANJE BEZBEDNOSNIM INCIDENTOM..............................................................104
13.1. Izveštavanje o bezbednosnim događajima i slabostima........................................................104
13.1.1. Prijavljivanje bezbednosnih događaja.................................................................................104
13.1.2. Prijavljivanje bezbednosnih slabosti...................................................................................105
13.2. Upravljanje bezbednosnim incidentima i poboljšanje...........................................................106
13.2.1. Odgovornosti i procedure...................................................................................................106
13.2.2. Učenje na bezbednosnim incidentima................................................................................107
13.2.3. Prikupljanje dokaza.............................................................................................................108
14. UPRAVLJANJE KONTINUITETOM POSLOVANJA.............................................................109
14.1. Bezbednosni aspekti upravljanja kontinuitetom poslovanja.................................................109
14.1.1. Uključivanje zaštite informacija u proces upravljanja kontinuitetom poslovanja...............109
14.1.2. Procena kontinuiteta poslovanja i rizika.............................................................................110
14.1.3. Razvoj i implementacija planova kontinuiteta poslovanja koji uključuju zaštitu informacija
111
14.1.4. Okvir za planiranje kontinuiteta poslovanja.......................................................................112
14.1.5. Testiranje, održavanje i ponovna procena planova kontinuiteta poslovanja......................113
15. USKLAĐENOST...............................................................................................................114
15.1. Usklađenost sa zakonskim zahtevima....................................................................................114
15.1.1. Identifikovanje primenljivih zakona....................................................................................114
15.1.2. Prava intelektualne svojine.................................................................................................114
15.1.3. Zaštita zapisa organizacije..................................................................................................115
15.1.4. Zaštita podataka i privatnosti ličnih informacija.................................................................117
15.1.5. Sprečavanje zloupotrebe opreme za obradu informacija...................................................117
15.1.6. Regulativa za kriptografske kontrole..................................................................................118
15.2. Usklađenost sa tehničkim politikama i standardima i tehnička usklađenost.........................119
15.2.1. Usklađenost sa politikama i standardima zaštite................................................................119
15.2.2. Provera tehničke usklađenosti............................................................................................119
15.3. Razmatranja audita informacionih sistema...........................................................................120
15.3.1. Kontrole audita informacionih sistema...............................................................................120
15.3.2. Zaštita alata za audit informacionih sistema.......................................................................121
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Predgovor
ISO (Međunarodna Organizacija za Standardizaciju) i IEC (Međunarodni Komisija za
Elektrotehniku) zajedno čine svetski specijalizovani sistem za Standardizaciju. Državna tela
koja su članovi ISO ili IEC učestvuju u razvoju Međunarodnih Standarda posredstvom
određenih organizacija koje sazivaju tehničke odbore za određene oblasti tehničkih
aktivnosti. ISO i IEC tehnički odbori sarađuju u domenima zajedničkih interesa. Ostale
Međunarodne, vladine ili nevladine organizacije koje imaju veze sa ISO i IEC, takođe
preuzimaju deo posla. U domenu informacionih tehnologija, ISO i IEC imaju formiran
udruženi odbor za tehniku, ISO/IEC JTC 1.
Međunarodni Standardi formulisani su u saglasnosti sa propozicijama datim u
ISO/IEC Directives, Part 2.
Glavni zadatak udruženog tehničkog odbora je priprema Međunarodnih Standarda.
Kada udruženi tehnički odbor usvoji predlog Međunarodnog Standarda, daje se državnim
telima na usvajanje putem glasanja. Publikovanje Međunarodnog Standarda zahteva
odobrenje od minimalno 75% učesnika državnih tela.
Skreće se pažnja na mogućnost da neki od elemenata ovog dokumenta mogu biti
predmet autorskih prava (patent). ISO i IEC se uzdržavaju od odgovornosti za bilo koja
identifikovana autorska prava.
ISO/IEC 27001 was prepared by Technical Committee ISO/IEC JTC 1, Information
technology, Subcommittee SC 27, IT Security techniques.
1. Uvod
1.1. Opšte
Cilj ovog Međunarodnog Standarda je da obezbedi model za:
uspostavljanje;
implementaciju;
primenu;
monitoring;
reviziju;
održavanje; i
poboljšavanje sistema upravljanja zaštitom informacija (ISMS).
Usvajanje ISMS predstavlja strateške ciljeve organizacije.
Dizajn i implementacija ISMS organizacije zavisi od njenih:
poslovnih potreba i ciljeva,
1
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
bezbenosnih zahteva,
vrste poslovnih procesa,
veličine i kompleksnosti organizacije.
Podrazumeva se da će ISMS sistem i podsistemi koji ga podržavaju, tokom primene
doživeti određene izmene. Implementacija ISMS se usklađuje prema potrebama
organizacije, na primer, mala kompleksnost organizacije zahtevaće jednostavnije rešenje
ISMS.
Ovaj Međunarodni Standard može da se koristi za procenu usaglašenosti internih i
eksternih zainteresovanih strana.
2
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Plan Act
Upravljan sistem
Bezbednosni zahtevi i Uspostavljanje Održavanje i
zaštita informacija
poslovna očekivanja ISMS poboljšavanje ISMS
Do Check
3
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
4
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
2. Obim
2.1. Opšte
Ovaj Međunarodni Standard pokriva sve tipove organizacija, (npr., komercijalna
preduzeća, vladine agencije, neprofitne organizacije) i u kontekstu celokupnih poslovnih
rizika organizacije specificira zahteve za:
uspostavljanje;
implementaciju;
primenu;
monitoring;
reviziju;
održavanje; i
poboljšavanje dokumentovanog ISMS.
Takođe, specificira zahteve za implementaciju kontrola zaštite koje su usklađene sa
potrebama pojedinih organizacija ili njihovih delova.
Dizajn ISMS obezbeđuje srazmeran i adekvatan odabir kontrola zaštite informacione
imovine i ostvaruje poverenje zainteresovanih strana.
Napomena 1 – U poslovnom smislu ovaj Međunarodni Standard svoje aktivnosti
usmerava na najkritičnije poslovne procese organizacije.
Napomena 2 – ISO/IEC 17799:2005 nudi uputstva za implementaciju kontrola zaštite.
2.2. Primena
Zahtevi ovog Međunarodnog Standarda su generički, postavljeni tako da budu
primenjivi u svakom tipu, karakteru i veličini organizacije. Kada organizacija pretenduje da
se usaglasi sa ovim Standardom, izostavljanje nekih od zahteva navedenih u klauzulama
5, 6, 7, 8 i 9. nije prihvatljivo.
Ako se ispostavi da su određena izuzeća kontrola neophodna da bi se zadovoljili
kriterijumi prihvatljivog rizika, potrebno je obezbediti obrazloženje od strane
odgovornog lica koje dokazuje da su odnosni rizici prihvatljivi. Kada se neke kontrole
5
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
izostave, saglasnost sa ovim Međunarodnim Standardom neće biti prihvaćena osim ako
takvi izuzeci ne doprinose zaštiti informacija organizacije koja je u skladu sa
bezbednosnim zahtevima ustanovljenim u procesu procene rizika i usklađenosti sa
zakonskim zahtevima i propisima.
Napomena – Ukoliko u organizaciji već postoji operativan sistem upravljanja
poslovnim procesima (npr., uspostavljen prema Standardima ISO 9001 ili ISO 14001), u
većini slučajeva takav sistem upravljanja može da odgovori zahtevima i ovog
Međunarodnog Standarda.
3. Normativne reference
Za primenu ovog dokumenta obavezna su sledeća dokumenta. Kod referenci kod
kojih je naveden datum, primenjuje se samo navedeno izdanje. Za reference kod kojih
nije naveden datum, primenjuje se poslednje izdanje navedenog dokumenta, uključujući
izmene i dopune (amimane).
ISO/IEC 17799:2005, Information technology — Security techniques — Code of
practice for information security management
4. Termini i definicije
6
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
7
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
8
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
9
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
1
Izraz ‘vlasnik’ predstavlja osobu ili entitet koji ima odgovornost, odobrenu od strane
menadžmenta, za kontrolu, produkciju, održavanje, korišćenje i zaštitu imovine. Izraz ’vlasnik’ ne
podrazumeva da lice zaista ima vlasnička prava nad imovinom.
10
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
11
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
12
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
13
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Napomena 3 – Dokumenta i zapisi mogu biti u bilo kojoj formi i na bilo kojem
medijumu.
14
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
PRIMER – Primeri zapisa mogu biti knjige gostiju, izveštaji rezultata audita i
popunjeni formulari kontrole pristupa (autorizacione matrice).
6. Odgovornosti menadžmenta
15
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
16
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
8.1. Opšte
Menadžment sprovodi reviziju ISMS u planiranim intervalima (najmanje jednom
godišnje), što obezbeđuje njegovu neprekidnu usklađenost, adekvatnost i efektivnost.
Ove revizije sadrže procenjene mogućnosti za poboljšavanje i potrebe za izmenama na
ISMS, uključujući izmene na bezbednosnim ciljevima i politici zaštite informacija. Rezultat
revizije jasno se dokumentuje, a zapisi se održavaju u skladu sa odredbom 5.3.3.
17
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
9. Poboljšavanje ISMS
18
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
19
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Annex A
(normativno)
Ciljevi kontrola i kontrole iz tabele A.1 direktno su izvedeni iz klauzula 5-15 Standarda
ISO/IEC 17799:2005. Pored navedenih kontrola, organizacija može da dodatne ciljeve
kontrola i kontrole koje je implementirala u svom sistemu zaštite. Ciljevi kontrola i
kontrole odabiraju se u ISMS procesu 5.2.1. Klauzule 5-15 Standarda ISO/IEC 17799:2005
navode preporuke i uputstva najboljih praksi za implementaciju kontrola datih u tabeli
A.1.
20
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Pre nego što se klijentu odobri pristup informacijama ili imovini organizacije potrebno je
A.6.2.2 Uključivanje bezbednosti u poslove sa klijentima
pripremiti sve identifikovane bezbednosne zahteve.
Ugovori sa trećim stranama koji uključuju pristupanje, procesiranje, razmenu ili
Uključivanje bezbednosti u sporazume sa trećim upravljanje informacijama ili opremom organizacije za procesiranje informacija, ili
A.6.2.3
stranama dodavanje proizvoda ili usluga opremi za procesiranje informacija, treba da obuhvate sve
odgovarajuće bezbednosne zahteve.
A.7 UPRAVLJANJE IMOVINOM
A.7.1 Odgovornost za imovinu CILJ: Uspostaviti i održavati odgovarajuću zaštitu imovine organizacije.
A.7.1.1 Inventar imovine Svu imovinu treba jasno identifikovati, i formirati i održavati inventar svih važnih dobara.
Sve informacije i sva imovina vezana uz opremu za obradu podataka trebala bi biti
A.7.1.2 Vlasništvo imovine
vlasništvo1 naznačenog dela organizacije.
Potrebno je definisati, dokumentovati i primeniti pravila za prihvatljivo korišćenje
A.7.1.3 Prihvatljivo korišćenje imovine
informacija i imovine vezane uz opremu za obradu informacija.
A.7.2 Klasifikacija informacija CILJ: Obezbediti odgovarajuće nivoe zaštite informacija.
Informacije treba klasifikovati prema njihovoj vrednosti, zakonskim zahtevima,
A.7.2.1 Uputstva za klasifikaciju
osetljivosti i kritičnosti za organizaciju.
Za označavanje i postupanje sa informacijama treba razviti i implementirati odgovarajući
A.7.2.2 Označavanje i postupanje sa informacijama
skup procedura, u skladu sa šemom klasifikovanja koju je usvojilo organizacija.
A.8 BEZBEDNOST LJUDSKIH RESURSA
CILJ: Obezbediti da zaposleni, ugovorne i treće strane razumeju svoje
A.8.1 Pre zaposlenja odgovornosti, proveriti njihovu podobnost za posao koji im je namenjen i
minimizirati rizik od krađe, prevare ili zloupotrebe sredstava.
Definisati i dokumentovati bezbednosne uloge i odgovornosti zaposlenih, izvođača
A.8.1.1 Uloge i odgovornosti
radova i korisnika treće strane. u skladu sa politikom zaštite informacija organizacije.
Proveriti biografiju radi verifikovanja svih kiidata za zaposlenje, izvođača radova i
korisnika treće strane, u skladu sa odgovarajućim zakonima, regulativama i etičkim
A.8.1.2 Izbor kandidata
principima, i srazmerno poslovnim zahtevima i sagledanim rizicima klasifikovati
informacije kojima će pristupati.
Kao deo svojih ugovornih obaveza, zaposleni, izvođači radova i korisnici treće strane
A.8.1.3 Uslovi za zapošljavanje treba da se saglase i potpišu ugovor o uslovima svog zapošljavanja, u kojem treba da su
iskazane njihove odgovornosti i odgovornosti organizacije za zaštitu informacija.
CILJ: Obezbediti da svi zaposleni, ugovorne i treće strane imaju: svest o
pretnjama i svojoj ulozi u zaštiti informacija, odgovornosti i obaveze, opremu
A.8.2 Tokom zaposlenja
koja podržava politiku zaštite organizacije tokom njihovog normalnog rada, i
smanjiti rizik ljudske greške.
Menadžment treba da zahteva od zaposlenih, izvođača radova i korisnika treće strane da
A.8.2.1 Odgovornosti menadžmenta primenjuju zaštitu u skladu sa uspostavljenim politikom i procedurama zaštite
organizacije.
Svi zaposleni u organizaciji i, gde je to bitno, izvođači radova i korisnici treće strane, treba
Obrazovanje, obuka i razvoj svesti o potrebi
A.8.2.2 redovno da dobijaju odgovarajuću obuku i obnavljaju znanja o bezbednosnim politikama i
zaštite informacija
procedurama, u skladu sa njihovim poslovnim funkcijiama.
A.8.2.3 Disciplinski postupak Treba da postoji zvaničan disciplinski postupak za zaposlene koji su narušili bezbednost.
CILJ: Obezbediti da svi zaposleni, ugovorne i treće strane, napuštanje
A.8.3 Prekid ili promena zaposlenja
organizacije ili promenu zaposlenja vrše prema propisu.
Odgovornosti po prestanku ili promeni Treba jasno definisati i dodeliti odgovornosti kod prestanka zaposlenja ili promene
A.8.3.1
zaposlenja radnog mesta.
Svi zaposleni, izvođači radova i korisnici treće strane, po prestanku zaposlenja, isteku
A.8.3.2 Vraćanje imovine
ugovora ili sporazuma moraju da vrate svu imovinu organizacije koju poseduju.
1
Izraz ‘vlasnik’ predstavlja osobu ili entitet koji ima odgovornost, odobrenu od strane
menadžmenta, za kontrolu, produkciju, održavanje, korišćenje i zaštitu imovine. Izraz ’vlasnik’ ne
podrazumeva da lice zaista ima vlasnička prava nad imovinom.
21
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
22
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
23
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
24
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
25
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
26
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
27
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Annex B
(informativno)
Ponovna procena – Učesnici sprovode revizije i ponovne Ponovna procena zaštite informacija je deo faze Check (videti 5.2.3 i
procene zaštite informacionih sistema i mreža, kao i 7 do 8.3) gde se sprovode redovne revizije za proveru efektivnosti
odgovarajuće modifikacije politika zaštite, praksi, metrike i sistema upravljanja zaštitom informacija, a poboljšanja zaštite u fazi
procedura. Act (videti 5.2.4 i 9.1 do 9.3).
28
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Annex C
(informativno)
Tabela C.1 prikazuje vezu između ISO 9001:2000, ISO 14001:2004 i ovog
Međunarodnog Standarda.
Table C.1 — Veza između ISO 9001:2000, ISO 14001:2004 i ISO/IEC 27001:2005
ISO/IEC 27001:2005 ISO 9001:2000 ISO 14001:2004
2.2 Primena
29
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
30
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
6.2.2 Obuka, svest i stručnost 6.2.2 Kompetencija, svest i obuka 4.4.2 Kompetencija, obuka i svest
6.3 Infrastruktura
31
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Annex A Annex A
Ciljevi kontrola i kontrole Smernice za korišćenje
međunarodnog standarda
Annex B
OECD principi i ovaj Međunarodni
Standard
32
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Bibliografija
Publikacije Standarda
[1] ISO 9001:2000, Quality management systems — Requirements
[2] ISO/IEC 13335-1:2004, Information technology — Security techniques —
Management of information and communications technology security — Part
1: Concepts and models for information and communications technology
security management
[3] ISO/IEC TR 13335-3:1998, Information technology — Guidelines for the
management of IT Security — Part 3: Techniques for the management of IT
security
[4] ISO/IEC TR 13335-4:2000, Information technology — Guidelines for the
management of IT Security — Part 4: Selection of safeguards
[5] ISO 14001:2004, Environmental management systems — Requirements with
guidance for use
[6] ISO/IEC TR 18044:2004, Information technology — Security techniques —
Information security incident management
[7] ISO 19011:2002, Guidelines for quality and/or environmental management
systems auditing
[8] ISO/IEC Guide 62:1996, General requirements for bodies operating
assessment and certification/registration of quality systems
[9] ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for
use in Standards
Ostale publikacije
[1] OECD, Guidelines for the Security of Information Systems and Networks —
Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org
[2] NIST SP 800-30, Risk Management Guide for Information Technology Systems
[3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced
Engineering Study, 1986
33
ISO/IEC 17799:2005
1. Uvod
2
od odluka same organizacije zasnovanim na kriterijumima za prihvatljivost rizika,
opcijama postupanja sa rizicima, kao i na opštem pristupu upravljanju rizicima koji
organizacija primenjuje, a treba takođe da podleže svim odgovarajućim nacionalnim i
međunarodnim zakonima ili uredbama.
Neke od kontrola iz ovog standarda mogu se kod upravljanja zaštitom informacija
smatrati za vodeće principe upravljanja sigurnošću i kao primenljive u većini organizacija.
One su detaljnije objašnjene u daljem tekstu pod naslovom "Polazna tačka u sigurnositi
informacija".
Više informacija u vezi izbora kontrola i opcija za postupanje sa rizicima mogu se naći
u tački 4.2 "Postupanje sa rizicima po sigurnost".
4
Informacione tehnologije – Tehnike zaštite – Praktična
uputstva za upravljanje zaštitom informacija
6
11.13. Risk management (Upravljanje rizicima)
Koordinisane aktivnosti usmeravanja i kontrolisanja u nekoj organizaciji u pogledu
rizika
NAPOMENA - Upravljanje rizicima tipično obuhvata ocenjivanje rizika, postupanje sa
rizikom, prihvatanje rizika i komuniciranje o rizicima (ISO Guide 73:2002)
12.1. Poglavlja
Svako poglavlje sadrži više glavnih kategorija sigurnosti. Navedenih 11 poglavlja
(unutar svakog poglavlja pridruženo je više glavnih kategorija sigurnosti) su:
a) Politika sigurnosti i zaštite (1);
b) Organizovanje sigurnosti informacija (2);
c) Upravljanje imovinom (2);
d) Sigurnost ljudskih resursa (3);
e) Fizička sigurnost i sigurnost okruženja (2)
f) Upravljanje komunikacijama i radom (10);
Prevod međunarodnog standarda ISO/IEC 17799:2005(E)
8
Ocenjivanje rizika treba da obuhvati sistematski pristup proceni veličine rizika
(analiza rizika) i proces upoređivanja ocenjenog rizika u odnosu na kriterijume rizika, kako
bi se utvrdio značaj rizika (vrednovanje rizika).
Takođe treba periodično sprovoditi ocenjivanje rizika kako bi se obuhvatile izmene
zahteva za sigurnost i izmene situacije rizika, npr. u imovini, pretnjama, ranjivostima i
uticajima, kao i vrednovanje rizika, kada se dogode znatnije izmene. Ova ocenjivanja rizika
treba preduzimati na metodičan način koji omogućava dobijanje uporedivih i ponovljivih
rezultata.
Ocenjivanje rizika po sigurnost informacija treba da ima jasno definisano područje,
kako bi bilo efektivno i treba da obuhvati veze sa ocenjivanjem rizika u drugim oblastima,
ukoliko je to potrebno.
Područje ocenjivanja rizika može biti cela organizacija, delovi organizacije,
pojedinačni informacioni sistem, specifične komponente sistema, ili usluge gde je to
primenljivo, realno i od pomoći. Primeri metodologije ocenjivanja rizika diskutovani su u
ISO/IEC TR 13335-3 (Smernice za menadžment sigurnošću u IT: Tehnike menadžmenta
sigurnosti u IT).
Kontrole se mogu odabrati iz ovog standarda ili iz nekih drugih skupova kontrola, ili
se mogu projektovati nove kontrole kako bi se zadovoljile specifične potrebe organizacije.
Neophodno je znati da neke od kontrola ne moraju biti primenljive na svaki informacioni
sistem ili okruženje, i da ne moraju biti ostvarljive na sve organizacije. Kao primer, u
10.1.3 opisano je kako se zaduženja mogu razdvojiti kako bi se sprečile prevare ili greške.
Može se desiti da se u manjim organizacijama ne mogu sva zaduženja razdvojiti i mogu
biti neophodni drugi načini ostvarivanja istih ciljeva kontrolisanja. Kao drugi primer, u
10.10 je opisano kako se korišćenje sistema može nadgledati i prikupljati dokazi. Opisane
kontrole npr. zapisivanje događaja, mogu doći u sukob sa primenljivim zakonodavstvom,
kao što je zaštitra privatnosti klijenata (korisnika) ili na radnom mestu.
Kontrole sigurnosti informacija treba predvideti u fazi projektovanja i specificiranja
sistemskih zahteva. Propust da se to učini može dovesti do dodatnih troškova i manje
efektivnih rešenja, i u najgorem slučaju možda do nemogućnosti da se postigne adekvatna
sigurnost.
Treba imati na umu da ne postoji takav skup kontrola koji može da ostvari potpunu
sigurnost, kao i da treba uvesti dodatne aktivnosti menadžmenta da bi se nadgledale,
vrednovale i poboljšale efikasnost i efektivnost (učinak) bezbednosnih kontrola za
podršku ciljeva organizacije.
10
e) kratko objašnjenje politika zaštite, principa, standarda i zahteva za
usklađenost koji su od posebnog značaja za organizaciju, uključujući:
1) usklađenost sa zakonskim, regulativnim i ugovornim zahtevima;
2) zahteve za edukacijom, obukom i razvojem svesti o potrebi zaštite;
3) upravljanje kontinuitetom poslovanja;
4) konsekvence usled povrede politike zaštite;
ffff)definicija opštih i posebnih odgovornosti za upravljanje zaštitom informacija,
uključujući izveštavanje o incidentima narušavanja zaštite informacija;
gggg) reference na dokumentaciju koja podržava politiku, npr., mnogo detaljnije
politike zaštite i procedure za specifične informacione sisteme ili pravila
zaštite kojih korisnici treba da se pridržavaju.
Ovu politiku zaštite informacija treba distribuirati korisnicima unutar organizacije u
formi koja je relevantna, pristupačna i razumljiva.
Ostale informacije
Politika zaštite informacija može biti deo dokumenta opšte politike. Ako se politika
zaštite informacija distribuira izvan organizacije, treba voditi računa da se ne otkriju
osetljive informacije. Dodatne informacije mogu se naći i u ISO/IEC 13335-1:2004.
12
c) revidira efektivnost implementacije politike zaštite informacija;
d) obezbedi jasan pravac i vidljivu menadžersku podršku inicijativama zaštite;
e) obezbedi resurse potrebne za zaštitu informacija;
f) odobri dodelu specifičnih uloga i odgovornosti u zaštiti informacija kroz celu
organizaciju;
g) inicira planove i programe za održavanje svesti o potrebi zaštite informacija;
h) obezbedi koordinaciju implementacije kontrola zaštite informacija na nivou
cele organizacije (videti 15.1.2).
Menadžment treba da identifikuje potrebe za internim ili eksternim savetima
specijalista zaštite informacija i da revidira i koordiniše dejstva tih saveta u celoj
organizaciji.
Zavisno od veličine organizacije, ovakve odgovornosti može preuzeti nadležni
rukovodni forum ili neko postojeće rukovodno telo, kao što je savet (board) direktora.
Ostale informacije
Dodatne informacija sadržane su u ISO/IEC 13335-1:2004.
14
b) kada je potrebno, treba proveriti hardver i softver kako bi se osiguralo da su
onikompatibilni sa ostalim sistemskim komponentama;
c) korišćenje lične ili privatne opreme za procesiranje informacija, npr., kućnih
računara, laptop ili ručnih uređaja za procesiranje poslovnih informacija može da uvede
nove ranjivosti i zato treba identifikovati i implementirati neophodne kontrole.
16
f) obezbeđuju pogodne tačke za saradnju kada se radi o incidentima narušavanja
sigurnosti (videti takođe 13.2.1).
Ostale informacije
Da bi se unapredila saradnja i koordinacija o problemima sigurnosti, mogu se sklapati
sporazumi o zajedničkom korišćenju informacija. Takvi sporazumi treba da
identifikujuzahteve za zaštitu osetljivih informacija.
18
j) zakonski i regulativni zahtevi, kao i druge ugovorne obaveze koje se odnose na
spoljnu stranu i koje treba uzeti u obzir;
k) kakav uticaj mogu imati sporazumi na interese bilo kojih drugih deoničara.
Pristup spoljnih strana informacijama organizacije ne treba pružiti pre nego što
seimplementiraju odgovarajuće kontrole i dok se, gde je izvodljivo, ne potpiše ugovor
kojim se definišu ograničenja i uslovi za povezivanje ili pristup, kao i uslovi rada. U opštem
slučaju,svi zahtevi za sigurnost koji su rezultat rada sa spoljnim stranama ili unutrašnje
kontrole treba da se odraze u sporazumu sa spoljnom stranom (videti takođe 6.2.2 i
6.2.3).
Treba osigurati da je spoljna strana svesna svojih obavezama i da prihvata svoje
odgovornosti i obaveze koje su u vezi sa pristupom, procesiranjem, komuniciranjem
iliupravljanjem informacijama organizacije i opremom za procesiranje informacija.
Ostale informacije
Informacije mogu biti izložene riziku od spoljnih strana sa neadekvatnim
upravljanjemsigurnošću. Treba identifikovati i primeniti kontrole za administriranje
pristupa spoljnestrane opremi za procesiranje informacija. Na primer, ukoliko postoji
posebna potreba za poverljivošću informacija, mogu se primeniti sporazumi o
neotkrivanju informacija.
Organizacije se mogu suočiti sa rizicima kod procesa među organizacijama, kod
upravljanjai komunikacija ukoliko se primeni visok stepen korišćenja spoljnih resursa, ili
kada je uključeno nekoliko spoljnih strana.
Kontrole 6.2.2 i 6.2.3 obuhvataju različite moguće sporazume sa spoljnim stranama,
štonpr., obuhvata:
a) davaoce usluga kao što su ISP (Internet), davaoce mrežnih usluga, telefonskih
usluga, kao i usluga održavanja i podrške;
b) upravljane usluge sigurnosti;
c) korisnike;
d) izmeštanje u spoljne resurse opreme i/ili operacija, npr., IT sistema, usluga
prikupljanja podataka, operacija pozivnog (call) centra;
e) konsultante za poslovanje i upravljanje i proveravače;
f) razvojne projektante i isporučioce, npr., softverskih proizvoda i IT sistema;
g) usluge čišćenja, snabdevanja hranom i druge usluge podrške iz spoljnih resursa;
h) povremeno angažovano osoblje, učenike i studente na praksi, kao i druga
povremena kratkoročna naimenovanja.
Ovakvi sporazumi mogu da pomognu da se smanje rizici u radu sa spoljnim stranama.
Pre davanja prava korisničkog pristupa bilo kojoj vrsti imovine organizacije, treba
uzeti u obzir sledeće bezbednosne uslove (zavisno od tipa i stepena datog pristupa, ne
moraju se primeniti svi uslovi):
a) zaštitu imovine, uključujući:
1) procedure za zaštitu imovine organizacije, uključujući informacije,
softver i menadžment poznatim ranjivostima;
2) procedure za utvrđivanje da li je došlo do bilo kakvog
kompromitovanja imovine, npr., gubitka ili modifikacija podataka;
3) integritet;
4) ograničenja u pogledu kopiranja i otkrivanja informacija;
rrrr) opis proizvoda ili servisa koje treba obezbediti;
ssss) različite razloge, zahteve i korist od korisničkog pristupa;
tttt) politiku kontrole pristupa, koja obuhvata:
1) dozvoljene metode pristupa, kao i kontrolu i korišćenje jedinstvenih
identifikatora kao što su korisnički ID i lozinke;
2) autorizacioni proces korisničkog pristupa i privilegije;
3) princip da je svaki pristup zabranjen ako nije eksplicitno autorizovan;
4) proces povlačenja prava pristupa ili prekidanje konekcije među
sistemima;
uuuu) sporazumi o izveštavanju, obaveštavanju i istrazi netačnih informacija
(npr., detalja o ličnosti), bezbednosnim incidentima i narušavanju zaštite
informacija;
vvvv) opis svakog servisa koja treba da bude na raspolaganju;
wwww) ciljni nivo servisa i neprihvatljivi nivoi servisa;
xxxx) pravo da se nadgleda i opozove bilo koja aktivnost u vezi sa imovinom
organizacije;
yyyy) respektivne obaveze organizacije i korisnika;
zzzz) zakonske odgovornosti i način koji obezbeđuje da se takve zahtevi
poštuju, npr., zakon o zaštiti podataka, posebno uzimajući u obzir različite
pravne sisteme kada sporazum obuhvata saradnju sa korisnicima iz drugih
zemalja (videti takođe 24.1);
aaaaa)prava intelektualne svojine (IPR), dodelu prava na kopiranje (videti
24.1.2) i zaštitu od bilo kakvog kolaborativnog rada (videti takođe 15.1.5);
Ostale informacije
Bezbednosni zahtevi koji se odnose na korisnički pristup imovini organizacije, mogu
varirati u zavisnosti od opreme za obradu informacija i samih informacija kojima se
pristupa. Ovi bezbednosni zahtevi mogu se obuhvatiti korisničkim sporazumima, koji
sadrže sve identikovane rizike i bezbednosne zahteve (videti takođe 15.2.1).
Sporazumi sa eksternim stranama takođe mogu da uključuju i druge strane.
Sporazumi o dodeli prava pristupa eksternoj strani treba da obuhvate odobrenje za
imenovanje drugih prihvatljivih strana i uslove za njihov pristup i učešće.
20
15.2.3. Uključivanje bezbednosti u ugovore sa trećim stranama
Kontrola
Ugovori sa trećim stranama koji uključuju pristupanje, procesiranje, razmenu ili
upravljanje informacijama ili opremom organizacije za procesiranje informacija, ili
dodavanje proizvoda ili usluga opremi za procesiranje informacija, treba da obuhvate sve
odgovarajuće bezbednosne zahteve.
Uputstvo za implementaciju
Ugovor treba da osigura da ne dođe do nesporazuma između organizacije i treće
strane. Organizacije treba da obezbede garanciju od treće strane.
Da bi se zadovoljili identifikovani bezbednosni zahtevi (videti 6.2.1) koje treba uneti u
sporazumeu, treba uzeti u obzir sledeće stavke:
a) politiku zaštite informacija;
bbbbb) kontrole zaštite imovine, uključujući:
1) procedure za zaštitu imovine organizacije, uključujući informacije,
softver i hardver;
2) sve zahtevane kontrole i mehanizme fizičke zaštite;
3) kontrole zaštite od malicioznih softvera (19.4.1);
4) procedure za utvrđivanje da li postoji kompromitacija imovine, npr.,
da li se desio gubitak ili modifikacija informacija, softvera i hardvera;
5) kontrole koje će osigurati vraćanje ili uništavanje informacija i
imovine po isteku ugovora, ili u nekom određenom trenutku tokom
njegove važnosti;
6) poverljivost, integritet, raspoloživost i bilo koja druga relevantna
osobina (videti 11.15) imovine;
7) restrikcije na kopiranje i otkrivanje informacija, kao i korišćenje
sporazuma o poverljivosti (videti 15.1.5);
ccccc) obuka korisnika i administratora o metodama, procedurama i
bezbednosti;
ddddd) obezbeđenje bezbednosne odgovornosti i svesti korisnika o
potrebi zaštite informacija;
eeeee) gde je ptrebno, uključiti odredbe po pitanju trensfera osoblja;
fffff) odgovornosti koje se odnose na instalacije i održavanje hardvera i
softvera;
ggggg)jasna struktura podnošenja izveštaja i dogovoreni format izveštaja;
hhhhh) jasan i specificiran proces upravljanja promenama;
iiiii) politika kontrole pristupa, koja obuhvata:
1) različite razloge, zahteve i koristi koje pristup treće strane čine
neophodnim;
2) dozvoljene metode pristupa, kao i kontrolu i korišćenje jedinstvenih
identifikatora kao što su korisnički ID i lozinke;
Prevod međunarodnog standarda ISO/IEC 17799:2005(E)
22
takođe 15.2.1). Gde je neophodno, zahtevane kontrole i procedure mogu biti proširene u
planu upravljanja zaštitom.
Ukoliko je upravljanje zaštitom outsource usluga, sporazumi treba da obuhvate način
na koji će treća strana garantovati adekvatnu bezbednost, održavati u skladu sa
definicijom u procesu procene rizika, kao i kako će se sistem zaštite adaptirati
identifikovanju i postupanju sa promenama rizika.
Neke od razlika između outsourcing-a i drugih načina obezbeđivanja usluga treće
strane uključuju pitanja odgovornosti, planiranja tranzicionog perioda i potencijalnih
prekida operativnog rada tokom tog perioda, sporazume o planiranju vanrednih događaja
i obaveznih revizija plana, kao i kolekcija i upravljanje bezbednosnim incidentima. Prema
tome, važno je da organizacija planira i upravlja tranzicionim periodom outsource
ugovora i da ima uspostavljene odgovarajuće procese za upravljanje promenama i
vanredno obnavljanje i/ili prekidanje ugovora.
U slučaju kada treća strana postane nedostupna da pruži svoju uslugu, u ugovoru
treba predvideti procedure za održavanje kontinuiteta procesiranja, da bi se izbeglo svako
kašnjenje ugovorenih usluga zamene resursa.
Ugovori sa trećim stranama takođe mogu da uključuju i druge strane. Sporazumi o
dodeli prava pristupa trećoj strani treba da obuhvate odobrenje za imenovanje drugih
prihvatljivih strana i uslove za njihov pristup i učešće.
U opštem slučaju, ugovore izrađuje sama organizacija. Mogu postojati situacije kada
ugovor izrađuje i nameće treća strana. Organizacija treba da osigura da u nametnutim
ugovorima nisu navedeni zahtevi treće strane, koji nepotrebno utiču na bezbednost
organizacije.
Pored toga, vlasništvo (videti 16.1.2) i klasifikacija informacija (videti 16.2) treba da je
dogovorena i dokumentovana za svaku imovinu. Zavisno od značaja imovine, njihove
poslovne vrednosti i bezbednosne klasifikacije, treba identifikovati nivoe zaštite
proporcionalno značaju imovine (više informacija o vrednovanju imovine radi
predstavljanja njenog značaja može se naći u ISO/IEC TR 13335-3).
Ostale informacije
Postoje mnogi tipovi imovine uključujući:
a) informacije:
4) baze podataka i datoteke sa podacima,
5) ugovori i sporazumi,
6) sistemska dokumentacija,
7) informacije o istraživanjima,
8) korisnička uputstva,
9) materijal za obuku,
10) procedure za rad ili podršku,
11) planovi kontinuiteta poslovanja,
12) planovi za povratak u prethodno stanje,
13) tragovi audita i
14) arhivske informacije;
b) softverska imovina:
15) aplikativni softver,
16) sistemski softver,
17) razvojni alati i
18) pomoćni programi (utilities);
c) fizička imovina:
19) računarska oprema,
20) komunikaciona oprema,
21) prenosivi medijumi i
22) ostala oprema;
d) servisi:
23) računarski i komunikacioni,
24) opšte usluge, na primer:
i. grejanje,
ii. osvetljenje,
iii. električno napajanje,
iv. klimatizacija;
24
e) ljudi i njihove:
25) kvalifikacije,
26) veštine i
27) iskustva;
f) nematerijalna imovina, kao što su ugled i reputacija organizacije.
Inventari imovine pomažu da se obezbedi njihova efektivna zaštita, a takođe može
da se zahteva za druge poslovne namene, kao što su bezbednost i zdravlje na radu,
potrebe osiguranja ili finansija (upravljanje imovinom). Proces popisivanja imovine
predstavlja važan preduslov za upravljanje rizikom (videti odeljak 13).
0
Izraz ‘vlasnik’ predstavlja osobu ili entitet koji ima odgovornost, odobrenu od strane
menadžmenta, za kontrolu, produkciju, održavanje, korišćenje i zaštitu imovine. Izraz ’vlasnik’ ne
podrazumeva da lice zaista ima vlasnička prava nad imovinom.
Prevod međunarodnog standarda ISO/IEC 17799:2005(E)
26
pokažu nepraktičnim. Treba obratiti pažnju na tumačenje oznaka klasifikovanosti na
dokumentima iz drugih organizacija, čije definicije mogu biti različite za isto ili slično
nazvane oznake.
Ostale informacije
Nivo zaštite može se oceniti analizom poverljivosti, integriteta i raspoloživosti, kao i
bilo kojih drugih drugih zahteva za informacije koje se razmatraju.
Informacije često prestaju da budu osetljive ili kritične posle izvesnog vremenskog
perioda,na primer kada se one javno objave. Ove aspekte treba uzeti u obzir, pošto
preterano klasifikovanje može voditi u implementaciju nepotrebnih kontrola što izaziva
posebne izdatke.
Prilikom dodele nivoa klasifikovanosti, zadatak klasifikovanja može se
uprostitizajedničkim razmatranjem dokumenata sa sličnim zahtevima za sigurnost.
U opštem slučaju, klasifikovanje informacija je skraćeni način za utvrđivanje kako sa
takvim informacijama treba postupati i kako ih zaštititi.
28
3
Objašnjenje: Reč "zaposlenje" ovde se podrazumeva da obuhvata različite situacije:
zapošljavanje ljudi (privremeno ili dugoročno), dodelu poslovnih uloga, izmenu poslovnih
uloga, dodelu zaduženja po ugovoru i završetak bilo kog od ovih aranžmana.
Kao deo svojih ugovornih obaveza, zaposleni, izvođači radova i korisnici treće strane
treba da se saglase i potpišu ugovor o uslovima svog zapošljavanja, u kojem treba da su
iskazane njihove odgovornosti i odgovornosti organizacije za zaštitu informacija.
Uputstvo za implementaciju
Uslovi zapošljavanja treba da odražavaju politiku zaštite organizacije, a pored toga da
razjasne i utvrde:
a) da svi zaposleni, izvođači radova i korisnici treće strane kojima je dodeljen
pristup osetljivim informacijama, pre nego što im se dozvoli pristup opremi
za obradu informacija, treba da potpišu sporazum o poverljivosti i
neotkrivanju informacija;
wwwww) zakonske odgovornosti i prava zaposlenih, izvođača radova i bilo
kojih drugih korisnika, npr., u pogledu zaštite prava na kopiranje, ili zakonske
regulative o zaštiti podataka (videti takođe 24.1.1 i 24.1.2);
xxxxx) odgovornosti za klasifikovanje informacija i upravljanje imovinom
organizacije koja je u vezi sa informacionim sistemima i servisima sa kojima
rade zaposleni, izvođači radova ili korisnici treće starane (videti takođe 16.2.1
i 19.7.3);
yyyyy) odgovornost zaposlenog, izvođača radova, ili korisnika treće strane, za
postupanje sa informacijama primljenim od drugih kompanija ili spoljnih
strana;
zzzzz) odgovornosti organizacije za postupanje sa ličnim podacima osoblja,
uključujući lične podatke nastale kao rezultat zapošljavanja ili u toku
zaposlenja u organizaciji (videti takođe 24.1.4);
aaaaaa) dodatne odgovornosti zbog rada izvan prostorija organizacije i
produženog radnog vremena, npr., u slučaju rada kod kuće (videti takođe
18.2.5 i 20.7.1);
bbbbbb) akcije koje treba preduzeti ako zaposleni, izvođač radova ili
korisnik treće strane ignoriše bezbednosne zahteve organizacije (videti
takođe 17.2.3)
Organizacija treba da osigura da zaposleni, izvođač radova i korisnici treće strane
prihvate uslove u pogledu zaštite informacija, koja odgovaraja prirodi i nivou njihovog
pristupa imovini organizacije vezanoj za informacione sisteme ili usluge.
Gde to odgovara, odgovornosti navedene u uslovima zapošljavanja treba da važe i za
definisani period posle prestanka zaposlenja (videti takođe 17.3).
Ostale informacije
Kao dodatak za obezbeđivanje odgovornosti zaposlenih, izvođača radova, ili korisnika
treće strane, u pogledu poverljivosti, zaštite podataka, etičkih normi, odgovarajućeg
korišćenja uređaja i opreme organizacije, kao i očuvanje renomiranih praksi koja se od
organizacije očekuje, može se primeniti kodeks ponašanja. Izvođač radova ili korisnici
treće strane mogu biti povezani sa nekom spoljnom organizacijom od koje se može
zahtevati da bude uključena u ugovorne aranžmane preko njenog zastupnika.
30
17.2. Tokom zaposlenja
Cilj: Obezbediti da svi zaposleni, ugovorne i treće strane imaju: svest o pretnjama i
svojoj ulozi u zaštiti informacija, odgovornosti i obaveze, opremu koja podržava politiku
zaštite organizacije tokom njihovog normalnog rada, i smanjiti rizik ljudske greške.
Da bi se osiguralo da se sigurnost primenjuje tokom celog trajanja zaposlenja nekog
pojedinca u organizaciji, treba definisati određene odgovornosti menadžmenta.
Svim zaposlenima, izvođačima radova i korisnicima sa treće strane treba
pružitiodgovarajući nivo upoznavanja i obuke o procedurama zaštite i ispravnom
korišćenjuopreme za procesiranje informacija kako bi se na minimum sveli mogući rizici
po sigurnost. Takođe treba uspostaviti zvanični disciplinski postupak u slučaju kada dođe
do kršenja sigurnosti.
Uputstvo za implementaciju
Pre davanja pristupa informacijama ili uslugama treba započeti obuku upoznavanja
sazvaničnim postupkom podsticanja koji je projektovan radi uvođenja politike sigurnosti u
samoj organizaciji i određenih očekivanja.
U toku obuke treba da obuhvatiti zahteve sigurnosti, zakonske obaveze i poslovne
kontrole, kao i obuku za ispravno korišćenje opreme za obradu informacija, npr.,
procedure za prijavljivanje, korišćenje softverskih paketa i informacije o disciplinskim
postupcima (17.2.3).
Ostale informacije
Aktivnosti na razvijanju svesti o sigurnosti, školovanju i obuci treba da pogoduju ulozi
polaznika, njegovim znanjima i odgovornostima i treba da obuhvate informacije o
poznatimpretnjama, koga treba kontaktirati za dalje savete o sigurnosti i odgovarajuće
kanale za izveštavanje o incidentima narušavanja sigurnosti (videti takođe 13.1).
Obuka u cilju unapređenja poznavanja namenjena je da bi se pojedincima omogućilo
da prepoznaju probleme i incidente narušavanja sigurnosti informacija, kao i da odgovore
uskladu sa potrebama njihove poslovne uloge.
32
Treba uspostaviti odgovornosti kako bi se osiguralo upravljanje odlaskom nekog
zaposlenog, izvođača radova ili korisnika sa treće strane iz organizacije kao i da se vrate
svi uređaji i ukinu sva prava na pristup.
Promenom odgovornosti i zaposlenih unutar organizacije treba upravljati kao da je to
prestanak zaposlenja i odgovarajućih odgovornosti u skladu sa ovim odeljkom, a svako
novozapošljavanje treba sprovoditi kako je opisano u odeljku 8.1.
34
18. Fizička zaštita i zaštita radnog okruženja
36
Projektovati i primeniti fizičku zaštitu kancelarija, prostorija i sredstava.
Uputstvo za implementaciju Za zaštitu kancelarija, prostorija i opreme treba
predvideti sledeće smernice:
a) u obzir treba uzeti odgovarajuće propise i standarde o zaštiti zdravlja i bezbenosti;
b) ključna oprema treba da je postavljena tako da se izbegne mogućnost javnog
pristupa;
c) kada je to primenljivo, zgrade treba da su neuočljive i da što manje ukazuju na
svoju namenu, bez vidljivih oznaka izvan ili unutar zgrade, koje bi ukazivale na prisutnost
aktivnosti procesiranja informacija;
d) direktorijumi i interni telefonski imenici u kojima su navedene lokacije oprema za
procesiranje osetljivih informacija, ne treba da budu lako dostupni javnosti;
38
Opremu treba postaviti ili zaštititi tako da se smanji rizik od pretnji i opasnosti iz
okruženja, kao i mogućnost neovlašćenog pristupa.
Uputstvo za implementaciju
Za zaštitu opreme u obzir treba uzeti sledeće smernice:
a) opremu treba postaviti tako da se na minimum smanji nepotreban pristup u
područja obavjanja rada;
b) opremu za procesiranje informacija koja postupa sa osetljivim podacima
treba postaviti i ograničiti ugao posmatranja tako da se smanji rizik od
vidljivostiinformacija neovlašćenim osobama za vreme njenog korišćenja, a
opremu zaskladištenje treba osigurati kako bi se izbegao neovlašćeni pritup;
c) elemente koji zahtevaju posebnu zaštitu treba izdvojiti kako bi se smanjio
opšti nivopotrebne zaštite;
d) treba usvojiti kontrole da bi se na minimum smanjio rizik od potencijalnih
fizičkih pretnji, npr., krađe, požara, eksplozija, dima, vode (ili kvarova na
vodovodnoj instalaciji), prašine, vibracija, hemijskih uticaja, smetnji iz mreže
napajanja, smetnjina komunikacijama, elektromagnetskih zračenja i
vandalizama;
e) treba uspostaviti smernice u odnosu na uzimanje hrane, pića i pušenje u
bliziniopreme za procesiranje informacija;
f) treba nadgledati uslove okoline, kao što su temperatura i vlažnost, koji bi
mogli negativno da utiču na rad opreme za procesiranje informacija;
g) na svim zgradama treba primeniti zaštitu od atmosferskih pražnjenja a na
svedolazne vodove napajanja i komunikacione vodove treba postaviti filtre za
zaštitnu od atmosferskih pražnjenja;
h) za opremu u industrijskom okruženju treba uzeti u obzir primenu specijalnih
metoda zaštite, kao što su membrane za tastature;
i) opremu za procesiranje osetljivih informacija treba zaštititi kako bi se na
minimumsveo rizik od curenja informacija usled zračenja.
40
f) kod osetljivih ili kritičnih sistema dalje kontrole koje treba uzeti u obzir uključuju:
1) postavljanje oklopljenih kanala i zaključanih prostorija ili kutija na mestima za
proveru i na priključnim mestima;
2) korišćenje alternativnih trasa i/ili prenosnih medijuma koji obezbeđuju
odgovarajuću zaštitu;
3) primenu optičkih kablova;
4) primenu elektromagnetskog oklapanja radi zaštite kablova;
5) pokretanje tehničkog pretraživanja i fizičkog pregledanja radi iznalaženja
neovlašćeno priključenih uređaja na kablovima;6) kontrolisan pristup do razvodnih tabli i
u prostorije za povezivanje.
b) sve vreme treba se pridržavati uputstva proizvođača o zaštiti opreme, npr., zaštita
odizlaganja jakim elektromagnetskim poljima;
c) kontrole pri radu kod kuće treba utvrditi ocenom rizika, a treba primeniti
kontrolekoje odgovaraju, npr., ormane za dokumentaciju sa zaključavanjem, politiku
praznog stola, kontrolu pristupa računarima i sigurne komunikacije sa ustanovom (videti
takođe ISO/IEC 18028 Mrežna sigurnost);
d) za zaštitu izmeštene opreme treba primeniti adekvatno osiguranje.
Rizici po sigurnost, npr., od oštećenja, krađe i prisluškivanja, mogu značajno varirati
među lokacijama i treba ih uzeti u obzir prilikom utvrđivanja najpogodnijih kontrola.
Ostale informacije
Oprema za procesiranje i skladištenje informacija uključuje sve oblike ličnih računara,
organizatora, mobilnih telefona, smart kartica, papirne ili druge formulare, koji se koriste
pri radu kod kuće ili koji se transportuju izvan normalnog mesta rada.
Više informacija o drugim aspektima zaštite mobilne opreme može se naći u 11.7.1.
42
c) treba postaviti vremenska ograničenja za izmeštanje opreme i proveravati
usklađenost prilikom povratka;
d) kada je neophodno i kada to odgovara, opremu treba zapisivati kada se ona
izmešta i kada se ona vraća.
Ostale informacije
Provere na licu mesta koje se preduzimaju radi otkrivanja nedozvoljenog
izmeštanjaimovine, mogu se takođe sprovoditi radi otkrivanja nedozvoljenih uređaja za
zapisivanje,oružja itd. i sprečavanja njihovog unošenja. Takve provere na licu mesta treba
sprovoditi uskladu sa odgovarajućim zakonima i propisima. Pojedinci treba da su svesni da
se sprovodeprovere na licu mesta, a provere treba sprovoditi samo uz odobrenje koje
odgovara zakonskim i regulativnim zahtevima.
44
Promene na operativnim sistemima treba sprovoditi samo gde postoji valjan poslovni
razlog za to, kao što je porast nivoa rizika po sistem. Ažuriranje sistema najnovijim
verzijama operativnog sistema ili aplikacijama nije uvek u poslovnom interesu, jer to
može uneti više ranjivosti i nestabilnosti nego postojeća verzija. Može takođe postojati
potreba za dodatnim obukama, troškovima licenci, podrškom, troškovima održavanja i
dodatnom administracijom, kao i za novim hardverom, naročito u toku faze migracije.
46
19.2.2. Monitoring i revizija usluga treće strane
Kontrola
Redovno nadgledati i preispitivati usluge, izveštaje i zapise koje obezbeđuje treća
strana i regularno sprovoditi audit.
Uputstvo za implementaciju
Nadgledanje i preispitivanje usluga treće strane treba da osigura da se poštuju uslovi
sporazuma u vezi sigurnosti informacija, kao i da se sa incidentima i problemima
narušavanja sigurnosti upravlja na odgovarajući način. Ovo treba da obuhvati vezu i
proces u upravljanjanju uslugama između organizacije i treće strane kako bi se:
a) nadgledali nivoi performansi usluga radi provere pridržavanja sporazuma;
b) preispitivali izveštaji o uslugama koje izrađuje treća strana i dogovarali
redovnisastanci o napretku posla, kako je to zahtevano u sporazumima;
c) obezbedile informacije u vezi incidenata narušavanja sigurnosti informacija i
preispitivanje tih informacija kod treće strane i u organizaciji kao što je
zahtevanosporazumima kao i bilo kojim smernicama i procedurama podrške;
d) preispitivali tragovi provere i zapisa o događajima u vezi sigurnosti kod treće
strane, operativnim problemima, otkazima, praćenju neispravnosti i smetnjama u vezi
isporučenih usluga;
e) razrešavali bilo koji identifikovani problemi i njima upravljalo.
Odgovornosti za upravljanje odnosima sa trećom stranom treba dodeliti određenom
pojedincu ili timu za upravljanje uslugama. Pored toga, organizacija treba da osigura da
treća strana dodeli odgovornosti za proveru usklađenosti i sprovođenje zahteva
izsporazuma. Da bi se nadgledalo da li su ispunjeni zahtevi iz sporazuma (videti 6.2.3),
posebno zahtevi za sigurnost informacija, treba obezbediti dovoljna tehnička znanja
iresurse. Treba preduzeti odgovarajuću akciju kada se zapaze nedostaci u isporuci usluge.
Organizacija treba da održava dovoljnu sveukupnu kontrolu i uvid u sve aspekte
sigurnosti osetljivih ili kritičnih informacija ili sredstava za procesiranje informacija kojima
treća strana pristupa, koje procesira ili kojima upravlja. Organizacija treba da osigura da
će zadržati uvid u sigurnosne aktivnosti kao što su upravljanje promenama,
identifikovanjeranjivosti, kao i izveštavanje/odziv na incidente narušavanja sigurnosti
informacija kroz jasno definisan proces, formu i strukturu izveštavanja.
Ostale informacije
U slučaju korišćenja spoljnih (ili izmeštenih) resursa, organizacija treba da je svesna
dakrajnja odgovornost za informacije koje se procesiraju kod spoljnog partnera ostaje na
organizaciji.
48
sistemskih resursa. Oni treba da identifikuju trendove u korišćenju, posebno u vezi sa
poslovnimaplikacijama ili sistemskim alatima za upravljanje informacijama.
Rukovodioci treba da koriste ove informacije da bi identifikovali i izbegli potencijalna
uska grla i zavisnost od ključnog osoblja, što može predstavljati pretnju po sigurnost
sistema iliusluga, i da bi planirali odgovarajuću akciju.
50
hhhhhh) implementiranje procedura za redovno prikupljanje informacija,
kao što je pretplata na mailing listu i/ili pregled web sajtova koji nude
informacije o novim malicioznim kodovima;
iiiiii) implementacija procedura za verifikovanje informacija koje se odnose na
maliciozne kôdove i osiguravanje da upozoravajući bilteni budu tačni i
informativni; rukovodioci treba da obezbede kvalifikovane izvore, npr.,
ugledne izdavače, pouzdane internet sajtove ili dobavljače softvera za zaštitu
od malicioznih kôdova, koji prave razliku između lažnog i pravog malicioznog
koda; svi korisnici treba da su svesni problema pojave lažnih (šaljivih) virusa i
da znaju šta da rade nakon njihovog prijema.
Ostale informacije
Korišćenje dva ili više različitih proizvođača softverskih proizvoda za zaštitu od
malicioznih kôdova, koji štite celo okruženje za obradu informacija, može poboljšati
efektivnost zaštite od malicioznih kôdova.
Da bi se osiguralo da zaštita bude ažurna, softver za zaštitu od malicioznih kôdova
podesiti na automatsko ažuriranje definicija poznatih malicioznih kôdova i automatsko
skeniranje mašina. Pored toga, ovakav softver se može instalirati na svaki desktop računar
i podesiti da vrši automatske provere.
Za vreme održavanja i sprovođenja procedura za vanredne događaje treba se čuvati
od predstavljanja malicioznih kôdova, jer tada neki kôdovi mogu da premoste normalne
kontrole zaštite malicioznih kôdova.
Pored osiguranja da mobilni kôd ne sadrži maliciozni kôd, kontrola nad mobilnim
kôdom jeod suštinskog značaja za izbegavanje neovlašćenog korišćenja ili narušavanja
sistema,mreža, ili aplikacionih resursa i drugih kršenja sigurnosti informacija.
52
strategija kritičnih sistema treba da obuhvati sve sistemske informacije, aplikacije i
podatke koji su neophodni za oporavak celokupnog sistema u slučaju katastrofe.
Treba utvrditi vremenski period čuvanja ključnih poslovnih informacija i sve zahteve
za arhiviranje kopija koje treba trajno čuvati (videti 24.1.3).
Ostale informacije
Da bi se olakšao proces izrade backup-a i restauracije, postupci se mogu
automatizovati. Takva automatizovana rešenja treba detaljno ispitati pre njihove
implementacije, kao i u redovnim intervalima nakon implementacije.
54
b) za sve medijume koji se iznose iz organizacije, kada je to neophodno i
izvodljivo,treba zahtevati odobrenje, a o svim takvim iznošenjima treba sačiniti zapis kako
bi se sačuvao trag za proveru.
c) sve medijume treba skladištiti na bezbednom i zaštićenom mestu, u skladu sa
specifikacijama proizvođača;
d) informacije za koje je potrebna dostupnost u preriodu dužem od veka
trajanjamedijumima na kojem se one čuvaju (prema specifikacijama proizvođača),
trebatakođe skladištiti na nekom drugom mestu kako bi se izbegao gubitak
informacijausled starenja medijuma;
e) da bi se ograničila mogućnost gubljenja podataka treba predvideti registrovanje
prenosivih medijuma;
f) pogonske jedinice prenosivih medijuma treba aktivirati samo ako za to postoji
poslovna potreba.
Sve procedure i nivoi odobrenja treba da su jasno dokumentovani.
Ostale informacije
Prenosivi medijumi obuhvataju trake, diskove, fleš diskove, prenosive čvrste diskove,
CD, DVD i otštampane medijume.
Ostale informacije
Nebrižljivim rashodovanjem medijuma mogu se razotkriti osetljive informacije
(videtitakođe 9.2.6 za informacije o rashodovanju opreme).
56
c) sistemska dokumentacija koja je stavljena na javnu mrežu, ili koja se dostavlja
preko javne mreže, treba da bude odgovarajuće zaštićena.
Ostale informacije
Sistemska dokumentacija može sadržati niz osetljivih informacija, npr., opise
aplikativnih procesa, procedure, strukture podataka, procese autorizacije.
58
Treba razmotriti poslovne, zakonske i sigurnosne posledice u vezi elektronske
razmenepodataka, elektronske trgovine i elektronskih komunikacija i razmotriti potrebe
za kontrolama.
Informacije se mogu kompromitovati usled nepoznavanja politike ili procedura za
korišćenje sredstava za razmenu informacija, npr., putem prisluškivanja razgovora sa
mobilnog telefona na javnom mestu, pogrešnog usmeravanja poruke elektronske pošte,
preslušavanjem telefonske sekretarice, neovlašćenim pristupanjem sistemima za govorne
poruke sa biranjem, ili slučajnim slanjem poruke faksimila pogrešnom uređaju za faksimil.
Poslovne operacije mogu biti prekinute a informacije mogu biti kompromitovane ako
komunikaciona sredstva otkažu, ako se preopterete ili ako se njihov rad prekine (videti
10.3 i 14). Informacije se mogu kompromitovati ako im pristupe neovlašćeni korisnici
(videti 11).
Sporazumi mogu biti u elektronskom ili pisanom obliku i mogu imati formu zvaničnih
ugovora ili uslova zapošljavnja. Za osetljive informacije koriste se specifični mehanizmi za
razmenu, koji treba da budu konzistentni sa ostalim tipovima sporazuma organizacije.
60
d) zakonske odredbe, na primer zahteve za elektronske potpise;
e) dobijanje odobrenja pre korišćenja javnih spoljnih usluga kao što su razmena
hitnih poruka ili zajedničko korišćenje datoteka;
f) jače nivoe utvrđivanja verodostojnosti, kontrolisanjem pristupa iz mreža sa javnim
pristupom.
Ostale informacije
Elektronska razmena poruka kao što su elektronska pošta, elektronska razmena
podataka (EDI) i razmena hitnih poruka dobijaju ulogu sa rastućim značajem u poslovnim
komunikacijama. Kod razmene elektronskih poruka rizici su drugačiji nego kod
komunikacija koje se zasnivaju na papirima.
62
trgovanja, uključujući detalje autorizovanja (videti 10.9.1.b). Mogu biti neophodni i drugi
sporazumi sa davaocima informativnih i proširenih mrežnih usluga.
Sistemi za javnu trgovinu treba da svoje uslove poslovanja javno oglase kupcima.
Razmatranje treba usmeriti na elastičnost prema napadu na uslužni sistem (host) koji
se koristi za elektronsku trgovinu, kao i na posledice po sigurnost bilo koje međusobne
veze preko mreže, koja je potrebna za primenu usluga elektronske trgovine (videti
20.4.6).
Ostale informacije
Elektronska trgovina je ranjiva od više mrežnih pretnji koje mogu dovesti do
malverzacija,osporavanja ugovora i razotkrivanja ili modifikovanja informacija.
Elektronska trgovina može da koristi metode za sigurnu proveru verodostojnosti,
npr.korišćenjem kriptografskih postupaka sa javnim ključem i digitalnih potpisa (videti
takođe 12.3) da bi se ti rizici smanjili. Kada su takve usluge potrebne, mogu se takođe
koristiti poverljive treće strane.
19.10. Monitoring
Cilj: Detektovati aktivnosti neovlašćene obrade informacija.
Sisteme treba nadgledati i treba zapisivati događaje u vezi sigurnosti. Da bi se
osiguralo identifikovanje problema u informacionom, sistemu treba koristiti dnevnike
operatera izapisivanje neispravnosti.
Organizacija treba da radi u skladu sa odgovarajućim zakonskim zahtevima koji
suprimenljivi na njene aktivnosti nadgledanja i zapisivanja.
64
Nadgledanje sistema treba koristiti da bi se proverila efikasnost kontrola koje su
usvojene i da bi se verifikovala usaglašenost sa modelom politike pristupanja.
66
19.10.3. Zaštita informacija u zapisima
Kontrola
Sredstva za logovanje i informacije u logovima moraju biti zaštićeni od slučajnog
menjanja i neautorizovanog pristupa.
Uputstvo za implementaciju Kontrole treba da su usmerene na zaštitu sredstava za
zapisivanje od neovlašćenog unošenja izmena i problema u njenom operativnom radu
uključujući:
a) menjanje tipova poruka koje se zapisuju;
b) unošenje izmena u datoteke sa zapisima ili njihovo brisanje;
c) prepunjavanje medijuma za zapise, što dovodi do otkaza zapisivanja događaja ili
upisivanja preko već ranije zapisanog.
Može se zahtevati da se neki zapisi o proveri arhiviraju kao deo politike čuvanja
zapisa ilizbog zahteva za prikupljanje i čuvanje dokaza (videti takođe 13.2.3).
Ostale informacije
Sistemski zapisnici često sadrže veliku količinu informacija, od kojih mnoge nisu u
vezi sa nadgledanjem sigurnosti. Da bi se pomoglo u identifikovanju događanja značajnih
zapotrebe nadgledanja sigurnosti sistema, treba koristiti automatsko kopiranje
odgovarajućih tipova poruka u jedan drugi zapis, i/ili korišćenje pogodnih sistemskih
pomoćnih programa ili alata provere za sprovođenje upita nad datotekama i
racionalizaciju.
Sistemske zapise potrebno je zaštititi jer ukoliko se podaci mogu modifikovati ili se
podaciiz njih mogu brisati, njihovo postojanje može dati lažan osećaj sigurnosti.
68
20. Kontrola pristupa
70
d) davanje korisnicima iskaza u pisanoj formi o njihovim pravima na pristup;
e) zahtevanje od korisnika da potpišu izjave kojima se ukazuje na to da oni
razumeju uslove pristupanja;
f) osiguranje da davaoci usluga neće davati pristup dok se ne sprovedu
procedure autorizacije;
g) održavanje formalnog zapisa o svim osobama registrovanim za korišćenje
servisa;
h) momentalnim uklanjanjem prava ili blokiranjem prava pristupa korisnicima
koji su promenili svoju ulogu u poslu ili su napustili organizaciju;
i) periodično proveravanje i uklanjanje ili blokiranje redudantnih korisničkih
identifikatora i naloga (videti 20.2.4);
j) osiguravanje da se redudantni korisnički identifikatori ne izdaju drugim
korisnicima.
Ostale informacije
Treba razmotriti uspostavljanje uloga u pristupanju korisnika zasnovanih na
poslovnim zahtevima kojima se više prava na pristup objedinjuje u tipične profile
pristupanja korisnika. Zahtevima i preispitivanjem pristupa (videti 20.2.4) lakše se upravlja
na nivoutakvih uloga nego na nivou posebnih prava.
Treba obratiti pažnju da se u ugovorima sa osobljem ili ugovorima o davanju usluga
predvide odredbe u kojima se navode kazne za pokušaje neovlašćenog pristupanja od
strane osoblja ili zastupnika u davanju usluga (videti takođe 15.1.5, 17.1.3, i 17.2.3).
72
Uputstvo za implementaciju Preispitivanje prava na pristup treba da uzme u obzir
sledeće smernice:
a) prava korisnika na pristup treba preispitivati u pravilnim razmacima, npr., u
periodima od 6 meseci, kao i posle svake promene, kao što je unapređenje,
razrešenje, kraj zaposlenja (videti 20.2.1);
b) prava korisnika na pristup treba takođe preispitivati i ponovo dodeljivati
prilikom prelaska zaposlenog sa jednog na drugo radno mesto u istoj
organizaciji;
c) autorizacije posebnih prava na povlašćeno pristupanje (videti 20.2.2) treba
preispitivati u kraćim intervalima, npr., u periodima od 3 meseca;
d) dodeljene povlastice treba proveravati u pravilnim intervalima kako bi se
osiguralo da nisu dobijene neautorizovane povlastice;
e) izmene privilegovanih naloga treba zapisivati radi periodičnog preispitivanja.
Ostale informacije
Redovno preispitivanje prava na pristup neophodno je da bi se održala efikasna
kontrola pristupa podacima i informacionim uslugama.
2) nisu zasnovane na bilo čemu što bi neko drugi mogao lako da pogodi
ili da dobije
3) korišćenjem ličnih podataka osobe, npr., imena, telefonskih brojeva,
datuma rođenja itd.;
4) koje nisu ranjive prema napadima pomoću rečnika (tj. ne sastoje se
od reči koje su sadržane u rečnicima);
5) da u sebi ne sadrže uzastopne identične isključivo brojčane ili slovne
znakove;
bbbbbbb) zamenjuju lozinke u pravilnim razmacima ili na osnovu broja
pristupanja (lozinke za povlašćene račune treba menjati češće od normalnih
lozinki), kao i da izbegavaju ponovno korišćenje ili ponavljanje starih lozinki;
ccccccc) zamenjuju privremene lozinke pri prvom prijavljivanju;
ddddddd) da lozinke ne stavljaju u bilo koji automatizovani postupak
prijavljivanja, npr.ubacivanjem pod makro ili funkcionu tipku;
eeeeeee) da ne koriste zajednički istu lozinku pojedinačnog korisnika;
fffffff) da ne koriste istu lozinku za poslovne i neposlovne namene.
Ako je korisnicima potrebno da pristupaju na više usluga, sistema ili platformi pa se
od njih zahteva da imaju višestruke zasebne lozinke, treba ih savetovati da mogu da
koriste jedinstvenu, pouzdanu lozinku (videti prethodno pod d) za sve usluge za koje je
korisniksiguran da je unutar svake usluge, sistema ili platforme uspostavljen razuman nivo
zaštite za skladištenje lozinke.
Ostale informacije
Upravljanje sistemom za pomoć u pogledu izgubljenih ili zaboravljenih lozinki
zahteva posebnu pažnju jer to takođe može da bude sredstvo za napad na sistem sa
lozinkama.
74
ekvivalentnom kontrolom, npr., pristupanjem pomoću lozinke (videti takođe
20.3.3).
Ostale informacije
Kada se uređaji instalirani kod korisnika, npr., radne stanice ili serveri sa datotekama
ostavljaju duže vreme bez nadzora, za njih se može zahtevati posebna zaštita od
neovlašćenog pristupa.
76
pozivanjem,npr., korišćenjem modema sa povratnim biranjem. Ovim tipom kontrole
utvrđuje severodostojnost korisnika koji pokušavaju da sa udaljenih lokacija uspostave
vezu samrežom neke organizacije. Kada koristi ovu kontrolu, organizacija ne bi trebalo da
koristi usluge na mreži koje uključuju prosleđivanje poziva ili, ako to čine, treba da
onemoguće primenu takvih funkcija kako bi se izbegla slabljenja zaštite koja se vezuju uz
prosleđivanjepoziva. Proces povratnog pozivanja treba da osigura da se sprovede stvarno
raskidanje veze na strani organizacije. U suprotnom, udaljeni korisnik bi mogao da zadrži
vod otvorenim praveći se da je verifikovanje povratnim pozivanjem uspelo. Procedure i
kontrole kod povratnog pozivanja treba da se detaljno provere u pogledu ove
mogućnosti.
Kao alternativno sredstvo za proveru verodostojnosti grupa udaljenih korisnika, kada
su oni priključeni na sigurna zajednička računarska sredstva, može služiti
proveraverodostojnosti u čvorištima. Za proveru verodostojnosti u čvorištima mogu se
koristitikriptografske tehnike zasnovane npr., na mašinskim sertifikatima. Ovo je deo iz
nekoliko rešenja zasnovanih na virtuelnim privatnim mrežama VPN.
Za kontrolu pristupa u bežičnim mrežama treba ugraditi dopunske kontrole za
proveruverodostojnosti. Posebno, specijalna pažnja je potrebna prilikom izbora kontrola
za bežične mreže zbog većih mogućnosti za neprimetno prisluškivanje i ubacivanje u
saobraćaj namreži.
Ostale informacije
Spoljni priključci pružaju mogućnost neovlašćenog pristupa poslovnim
informacijama, npr.pristup metodom biranja broja. Postoje razni tipovi provere
verodostojnosti, pri čemu neki od njih daju veći nivo zaštite od drugih, npr., metode
zasnovane na primeni kriptografskihpostupaka mogu da obezbede pouzdanu proveru
verodostojnosti. Važno je da se nivo potrebne zaštite odredi na osnovu ocene rizika. To je
potrebno radi odgovarajućeg izborametode za proveru verodostojnosti.
Sredstva za automatsko priključivanje na udaljeni računar može da otvori put za
dobijanjeneovlašćenog pristupa nekoj poslovnoj aplikaciji. Ovo je posebno važno ako se
za priključak koristi mreža koja je izvan kontrole upravljanja sigurnošću u organizaciji.
78
Mreže je takođe moguće razdvojiti korišćenjem funkcija mrežnih uređaja, npr.,
IPprespajanje. Razdvojeni domeni se zatim mogu implementirati preko upravljanja
tokovima podataka primenom funkcija usmeravanja/prespajanja, kao što su spiskovi za
kontrolupristupa.
Kriterijumi za razdvajanje mreža u domene treba da se zasnivaju na politici
kontrolepristupa i zahtevima za pristup (videti 10.1), a u obzir treba uzeti i relativne
troškove i posledice ugradnje pogodnog mrežnog usmeravanja ili tehnike prolaza za
pristup (videti 11.4.6 i 11.4.7).
Pored toga, razdvajanje u mrežama treba da se zasniva na vrednosti i klasifikovanosti
informacija koje su uskladištene ili se obrađuju u mreži, nivoima poverenja, ili vrstama
poslovanja, kako bi se smanjile ukupne posledice od nekog poremećaja usluge.
Treba razmotriti odvajanje bežičnih mreža od unutrašnjih i privatnih mreža. Kako
oblasti bežičnih mreža nisu potpuno definisana, u takvim slučajevima treba sprovesti
ocenjivanje rizika kako bi se identifikovale kontrole (npr., pouzdana provera
verodostojnosti,kriptografske metode i izbor frekvencija) kako bi se razdvajanje mreža
održalo.
Ostale informacije
Mreže se sve više proširuju izvan tradicionalnih granica organizacije, jer se formiraju
poslovna partnerstva kojima će biti potrebno međusobno povezivanje ili zajedničko
korišćenje sredstava za procesiranje informacija i povezivanje u mreže. Takva proširenja
mogu povećati rizik neovlašćenog pristupa u već postojećim informacionim sistemima koji
koriste mrežu, od kojih nekima može biti potrebna zaštita od drugih korisnika te
mrežezbog sopstvene osetljivosti ili kritičnosti.
80
Pristup operativnim sistemima mora biti kontrolisan bezbednosnim log-on
procedurama.
Uputstvo za implementaciju
Proceduru za prijavljivanje na operativni sistem treba projektovati tako da se na
minimumsvede mogućnost neovlašćenog pristupa. Procedura za prijavljivanje zbog toga
treba daotkriva samo minimum informacija o sistemu, kako bi se izbeglo da se
neovlašćenom korisniku nepotrebno pruži pomoć. Dobra procedura za prijavljivanje
treba:
a) da ne prikazuje identifikatore sistema ili aplikacije sve dok se prijavljivanje
nedovrši uspešno;
b) da prikaže opštu poruku upozorenja, da računaru treba da pristupaju samo
ovlašćeni korisnici;
c) da u toku procedure prijavljivanja ne daje poruke za pomoć koje bi pomogle
neovlašćenim korisnicima;
d) da validaciju informacija dobijenih radi prijavljivanja izvrši tek po završetku
unošenja svih podataka. Ukoliko nastane stanje greške, sistem ne treba da
ukaže nato koji je deo podataka tačan ili netačan;
e) da ograniči dozvoljeni broj neuspešnih pokušaja prijavljivanja, npr., na tri
pokušaja i još da predvidi:
1) zapisivanje neuspešnih i uspešnih pokušaja;
2) sprovođenje vremenskog odlaganja pre nego se dozvole dalji pokušaji
prijavljivanja ili odbacivanje svakog daljeg pokušaja bez posebnog
odobrenja;
3) raskidanje veza u linku za podatke;
4) slanje poruke upozorenja na sistemsku konzolu ako je dostignut
najveći dozvoljen broj pokušaja prijavljivanja;
5) postavljanje broja ponovnih pokušaja u vezi sa najmanjom dužinom
lozinke i vrednosti sistema koji se štiti;
ggggggg) da ograniči maksimalno i minimalno dozvoljeno vreme trajanja
procedure prijavljivanja. Ako se ona premaše, sistem treba da obustavi
prijavljivanje;
hhhhhhh) da po završetku uspešnog prijavljivanja prikaže sledeće
informacije:
1) datum i vreme prethodnog uspešnog prijavljivanja;
2) detalje svakog od neuspelih pokušaja prijavljivanja, u periodu posle
zadnjeg uspešnog prijavljivanja.
iiiiiii) da ne prikazuje lozinku koja se unosi ili da znakove lozinke sakriva pomoću
drugih simbola;
jjjjjjj) da kroz mrežu ne šalje lozinke u otvorenom tekstu.
Ostale informacije
Ako se lozinke tokom sesije prijavljivanja na mrežu prenose u otvorenom tekstu, one
na mreži mogu biti uhvaćene pomoću nekog mrežnog programa za praćenje.
Prevod međunarodnog standarda ISO/IEC 17799:2005(E)
82
a) sprovodi korišćenje pojedinačnih korisničkih identifikatora (ID) i lozinki kako
bi se održala odgovornost;
b) omogući korisnicima, kada to odgovara, da odabiraju i menjaju sopstvene
lozinke,kao i da uključe proceduru potvrđivanja kako bi se u obzir uzele
greške prilikom unošenja;
c) sprovodi odabiranje pouzdanih lozinki (videti 11.3.1);
d) sprovodi promene lozinki (videti 11.3.1);
e) sprovodi da korisnici privremene lozinke zamene prilikom svog prvog
prijavljivanja (videti 11.2.3);
f) da održava zapis sa prethodnim korisničkim lozinkama, kao i da spreči
njihovo ponovno korišćenje;
g) da prilikom unošenja lozinke ne prikazuje na ekranu;
h) datoteke sa lozinkama da skladišti zasebno od sistemskih podataka aplikacije;
i) lozinke da skladišti i šalje u zaštićenom obliku (npr., šifrovane ili sa primenom
heš funkcije).
Ostale informacije
Lozinke su jedno od glavnih sredstava validacije ovlašćenja korisnika za pristupanje
nekoj računarskoj usluzi.
Neke aplikacije zahtevaju da lozinke korisnicima dodeljuje neko nezavisno ovlašćeno
telo; u takvim slučajevima ne primenjuju se prethodno navedene tačke b), d) i e). U
najvećem brojuslučajeva lozinke odabiraju i čuvaju sami korisnici. Kao uputstvo o
korišćenju lozinki videti 11.3.1.
84
Ograničavanje perioda tokom kojeg su dozvoljena priključenja na računarske usluge
smanjuje prostor (okvir) povoljnim prilikama za neovlašćeno pristupanje.
Ograničenjetrajanja aktivnosti sesija sprečava korisnike da vezu drže otvorenu kako bi
izbegli ponovnu proveru verodostojnosti.
86
Ovapolitika takođe treba da sadrži pravila i savete za priključivanje prenosivih sredstava
namreže i uputstva za korišćenje ovih sredstava na javnim mestima.
Pažnju treba obratiti prilikom korišćenja prenosivih sredstava na javnim mestima, u
salama za sastanke i u drugim nezašćtićenim oblastima izvan prostorija
organizacije.Zaštita treba da je postavljena tako da se izbegne neovalašćeni pristup ili
razotkrivanjeinformacija koje se čuvaju i procesiraju u tim sredstvima, npr., primenom
kriptografskihpostupaka (videti 12.3).
Kada takva sredstva koriste na javnim mestima, korisnici treba da obrate pažnju da
seizbegne rizik od posmatranja neovlašćenih osoba. Treba da su ugrađene procedure
protivmalicioznih softvera koje treba redovno ažurirati (videti 10.4).
Treba redovno praviti rezervne kopije kritičnih poslovnih informacija. Na
raspolaganjutreba da bude oprema za brzu i laku izradu rezervnih kopija informacija. Za
ove rezervne kopije treba da postoji odgovarajuća zaštita, npr., od krađe ili gubitka
informacija.
Pogodna zaštita treba da se pruži kod korišćenja prenosivih sredstava kada se ona
priključuju na mreže. Daljinsko pristupanje poslovnim informacijama preko javnih mreža
korišćenjem prenosivih sredstava treba da se odvija tek posle uspešne identifikacije
iprovere njihove verodostojnosti, pomoću ugrađenih odgovarajućih mehanizama za
kontrolu pristupa (videti 11.4).
Prenosiva računarska sredstva treba i fizički zaštititi protiv krađe posebno kada se
ona ostavljaju, na primer u automobilu i drugim oblicima transporta, hotelskim sobama,
konferencijskim centrima i mestima sastanaka. Treba uspostaviti specifičnu
procedurukojom se uzimaju u obzir pravni i zahtevi osiguranja za zaštitu u organizaciji, za
slučajkrađe ili gubitka prenosivih računarskih sredstava. Opremu koja sadrži važne,
osetljive i/ili kritične poslovne informacije ne treba ostavljati bez nadzora, a gde je to
moguće, treba jefizički zaključati, ili treba koristiti specijalne bravice za njihovo
osiguravanje (videti 9.2.5).
Treba sprovesti obuku osoblja koje koristi prenosive računare, da bi se poboljšala
njihovaobaveštenost o dodatnim rizicima do kojih dolazi usled ovakvog načina rada i
kontrolama koje treba implementirati.
Ostale informacije
Mobilni bežični priključci na mreže slična su drugim tipovima priključaka na mreže, ali
postoje važne razlike koje treba uzeti u obzir prilikom identifikovanja kontrola. Tipične
razlike su
a) neki protkoli za sigurnost kod bežičnog rada su nedovoljno sazreli i imaju
poznate slabosti;
b) može se desiti da se za informacije sadržane u prenosivim računarima ne
prave rezervne kopije zbog ograničene širine opsega u mrežama i/ili zato što
prenosivi uređaj nije priključen u trenucima kada je predviđena izrada
rezervnih kopija.
88
f) obezbeđivanje i održavanje hardverske i softverske podrške;
g) obezbeđivanje osiguranja;
h) procedure za izradu rezervnih kopija i za kontinuitet poslovanja;
i) proveru i nadgledanje sigurnosti;
j) ukidanje ovlašćenja i prava na pristupanje i vraćanje opreme kada se
aktivnosti sa udaljenosti završe.
Ostale informacije
Kod rada sa udaljenosti primenjuju se komunikacione tehnologije kako bi se osoblju
omogućilo da radi sa udaljene lokacije izvan sopstvene organizacije.
90
4) premašenje gornje ili donje granice za veličinu (količinu) podataka;
5) neodobreni ili nedosledni (neujednačeni) podaci upravljanja;
b) periodično preispitivanje sadržaja ključnih polja ili datoteka sa podacima kako bi se
potvrdila njihova validnost i integritet;
c) pregledanje ulaznih štampanih dokumenata zbog mogućih neovlašćenih promena
na ulaznim podacima (sve izmene na ulazim dokumentima moraju biti autorizovane);
d) procedure za odziv na greške (nađene) pri validaciji;
e) procedure za ispitivanje verodostojnosti ulaznih podataka;
f) definisanje odgovornosti sveg osoblja koje učestvuje u postupku unošenja
podataka;
g) stvaranje zapisa o aktivnostima koje su uključene u procesiranje ulaznih podataka
(videti 10.10.1).
Ostale informacije
Da bi se smanjio rizik od grešaka i da bi se sprečili standardni napadi prepunjavanjem
međumemorije i ubacivanjem nekog koda, može se tamo gde odgovara
predvidetiautomatizovano ispitivanje i validacija ulaznih podataka.
92
c) pružanje čitaocu ili narednom sistemu za procesiranje, dovoljnih informacija da bi
se odredila tačnost, kompletnost, preciznost i klasifikovanost informacija;
d) procedure za odgovor na rezultate ispitivanja validnosti na izlazu;
e) definisanje odgovornosti za sve osoblje koje učestvuje u procesiranju podataka na
izlazu;
f) izradu zapisa o aktivnostima u procesu validacije podataka na izlazu.
Ostale informacije
Tipično, sistemi i aplikacije se izgrađuju na polaznoj pretpostavci da će se, kada su
preduzete odgovarajuća validacija, verifikovanje i ispitivanje, na izlazu uvek dobiti
ispravnirezultati. Ova pretpostavka međutim ne važi uvek; naime sistemi koji su ispitani
mogu u nekim okolnostima još uvek da proizvedu netačne rezultate na izlazu.
94
b) generisanja i dobijanja sertifikata javnih ključeva;
c) distribuiranja ključeva namenjenim korisnicima, uključujući i način kako ključeve
treba aktivirati nakon prijema;
d) skladištenja ključeva, uključujući i način kako ovlašćeni korisnici dobijaju
pristupključevima;
e) zamene ili ažuriranja ključeva uključujući pravila o tome kada ključeve treba
zameniti i način kako to treba raditi;
f) postupanja sa kompromitovanim ključevima;
g) opozivanja ključeva uključujući način kako ključeve treba povući ili deaktivirati,
npr., kada su ključevi kompromitovani ili kada korisnik napušta organizaciju (u kom
slučaju ključeve treba i arhivirati);
h) obnavljanja ključeva koji su bili izgubljeni ili oštećeni kao dela
upravljanjakontinuitetom poslovanja, mpr. za obnavljanje šifrovanih informacija;
i) arhiviranja ključeva, npr., za arhivirane informacije ili za rezervne kopije;
j) uništavanja ključeva;
k) zapisivanja i provera aktivnosti u vezi upravljanja ključevima.
Da bi se umanjili izgledi za kompromitovanje, ključevi treba da imaju definisane
datumeaktiviranja i deaktiviranja tako da se mogu primenjivati samo u ograničenom
vremenskom periodu. Ovaj vremenski period treba da zavisi od okolnosti u kojima se
kriptografska kontrola primenjuje, kao i od sagledanih rizika.
Pored problema sigurnog upravljanja tajnim i privatnim ključevima, treba razmotriti i
verodostojnost javnih ključeva. Ovaj proces provere verodostojnosti se može obaviti
primenom sertifikata javnih ključeva, koje normalno izdaje telo ovlašeno za izdavanje
certifikata, koje treba da bude neka priznata organizacija sa uspostavljenim
odgovarajućim kontrolama i procedurama kako bi se obezbedio potreban stepen
poverenja.
Sadržaji sporazuma ili ugovora sa spoljnim isporučiocima kriptografskih usluga o
nivou tihusluga, npr., sa ovlašćenim telom za izdavanje certifikata, treba da obuhvate
probleme odgovornosti, pouzdanosti usluga i vremena odziva kod pružanja usluge (videti
6.2.3).
Ostale informacije
Za efektivnu primenu postupaka šifrovanja od suštinskog je značaja upravljanje
šifarskim ključevima. Dalje informacije o upravljanju ključevima date su u standardu
ISO/IEC 11770. Postoje dva tipa postupka šifrovanja:
a) postupci sa tajnim ključevima, kada dve ili više strana zajednički koriste jedan isti
ključ a taj ključ se primenjuje i za šifrovanje i za dešifrovanje informacija; ovaj ključ se
mora držati u tajnosti jer svako ko ima pristup tom ključu u stanju je da dešifruje sve
informacije šifrovane pomoću tog ključa, ili da korišćenjem tog ključa unese
neautorizovane informacije;
b) postupci sa javnim ključevima, kada svaki korisnik poseduje par ključeva, jedan
javni ključ (koji se može razotkriti bilo kome) i jedan privatni ključ (koji se moradržati u
Prevod međunarodnog standarda ISO/IEC 17799:2005(E)
96
h) starije verzije softvera treba arhivirati, zajedno sa svim potrebnim informacijama
iparametrima, procedurama, detaljima konfiguracije i softverom za podršku, sve dok se
podaci drže u arhivi.
Softver za operativni sistem koji je kupljen od nekog isporučioca, treba održavati na
nivou koji podržava taj isporučilac. Tokom vremena, prodavci softvera prestaju da
podržavaju starije verzije softvera. Organizacija treba da uzme u obzir rizike od oslanjanja
na softvere koji nemaju podršku.
Svaka odluka da se izvrši unapređenje novim izdanjem treba da uzme u obzir
poslovne zahteve za tu promenu, kao i sigurnost tog izdanja, tj. uvođenje novih funkcija
sigurnosti ili broj i ozbiljnost problema sigurnosti kojima podleže ta verzija. Za uklanjanje
ili smanjivanje slabosti u zaštiti, treba primeniti popravke softvera ako to pomaže (videti
takođe 12.6.1).
Fizički ili logički pristup treba isporučiocima davati samo kada je to neophodno radi
podrške i uz odobrenje menadžmenta. Aktivnosti isporučioca treba nadgledati.
Računarski softver može se oslanjati na softver i module od spoljnih isporučilaca, što
se mora nadgledati i kontrolisati kako bi se izbegle neovlašćene promene, koje bi mogle
uneti slabosti u sigurnost.
Ostale informacije
Operativne sisteme treba unapređivati samo kada za to postoji zahtev, npr., kada
postojeća verzija operativnog sistema više ne podržava poslovne potrebe. Unapređenja
ne trebauvoditi samo zato što je na raspolaganju nova verzija operativnog sistema. Nove
verzije operativnih sistema mogu biti manje sigurne, manje stabilne i slabije razumljive od
postojećih sistema.
98
Rukovodioci zaduženi za sisteme aplikacija treba takođe da budu odgovorni za
sigurnost uokruženju projektovanja ili podrške. Oni treba da osiguraju da se sve
predložene izmene nasistemu preispituju kako bi se proverilo da one ne narušavaju
sigurnost ni sistema nioperativnog okruženja.
Dobra praksa uključuje posebno okruženje u kojem se isprobava novi softver i koje je
odvojeno od okruženja razvoja i proizvodnog okruženja (videti takođe 10.1.4). Ovim
seobezbeđuje sredstvo za uspostavljanje kontrole nad novim softverom i omogućava
dopunskazaštita operativnih informacija koje se primenjuju za svrhu ispitivanja. Ovim
treba da buduobuhvaćene popravke, paketi usluga i druga ažuriranja. U kritičnim
sistemima ne treba primenjivati automatska ažuriranja, jer neka takva ažuriranja mogu
dovesti do otkaza kod kritičnih aplikacija (videti 12.6).
100
Ako su izmene neophodne, originalni softver treba zadržati a izmene treba primeniti
najasno identifikovanoj kopiji. Treba implementirati proces upravljanja ažuriranjem
softvera kako bi se osiguralo instalisanje najnovijih proverenih dopuna i aplikacijskih
ažuriranja zasve autorizovane softvere (videti 12.6). Sve izmene treba u potpunosti
isprobati idokumentovati, tako da se one mogu po potrebi ponovo primeniti na buduća
softverska poboljšanja. Ako je potrebno, modifikacije treba da ispita i validaciju da obavi
nezavisno telo za vrednovanje.
102
e) zavisno od toga koliko hitno treba neku tehničku ranjivost uzeti u razmatranje,
preduzetu aktivnost treba sprovesti u skladu sa kontrolama koje su vezane za upravljanje
izmenama (videti 12.5.1) ili sprovođenjem procedura za odgovor na incidente narušavanja
sigurnosti (videti 13.2);
f) ako je popravka na raspolaganju, treba oceniti rizike u vezi ugradnje te
popravke(rizike koji nastaju usled ranjivosti treba uporediti sa rizikom usled ugradnje
tepopravke);
g) popravke treba isprobati i vrednovati pre nego što se one ugrade kako bi se
osiguralo da one budu efektivne i da ne dovode do sporednih uticaja koji se ne mogu
tolerisati;ako popravka nije na raspolaganju, treba razmotriti druge kontrole kao što su:
1) deaktiviranje usluga ili mogućnosti koje su u vezi sa ranjivošću;
2) prilagođavanje ili dodavanje kontrola pristupa, npr., zaštitnih pregrada na
granicama mreže (videti 11.4.5);
3) pojačano nadgledanje kako bi se otkrili ili sprečili postojeći napadi; i
4) povećanje obaveštenosti o ranjivosti;
h) o svim preduzetim procedurama treba praviti zapise za proveru;
i) proces upravljanja tehničkim ranjivostima treba redovno nadgledati i
vrednovatikako bi se osigurala njegova efektivnost i efikasnost;
j) prvo treba uzeti u razmatranje sisteme sa visokim rizikom.
Ostale informacije
Ispravno funkcionisanje procesa upravljanja tehničkim ranjivostima u organizaciji
kritično je za mnoge organizacije i treba ga zato redovno nadgledati. Da bi se
osiguraloidentifikovanje mogućih tehničkih ranjivosti, od suštinskog značaja je tačan popis
inventara.
Upravljanje tehničkim ranjivostima može se posmatrati kao podfunkcija
upravljanjapromenama i kao takva može koristiti postupke i procedure za upravljanje
promenama (videti 10.1.2 i 12.5.1).
Prodavci su često pod znatnim pritiskom da popravke objave što je pre moguće. Zbog
toganeka popravka možda neće odgovarajuće rešiti problem a može imati i negativne
sporedne uticaje. Takođe u nekim slučajevima kada je popravka već primenjena, možda
neće biti moguće da se ona lako ukloni.
Ako odgovarajuće isprobavanje popravke nije moguće, npr., zbog troškova ili
nedostatka resursa, popravka se može odložiti da bi se vrednovali pripadajući rizici,
zasnovani na iskustvima drugih korisnika.
104
a) gubitak usluge, opreme ili sredstava;
b) neispravna funkcionisanja sistema ili preopterećenja;
c) ljudske greške;
d) neusklađenosti sa politikama ili smernicama;
e) kršenja fizičke zaštite;
f) nekontrolisane promene na sistemu;
g) neispravno funkcionisanje softvera ili hardvera;
h) prekršaji u vezi pristupa.
Uz dužnu pažnju sa gledišta poverljivosti, incidenti narušavanja sigurnosti informacija
semogu koristiti za obuku korisnika (videti 8.2.2) kao primeri šta bi se moglo dogoditi,
kakoodgovoriti na takve incidente i kako da se oni izbegnu u budućnosti. Da bi se incidenti
odgovarajuće razmotrili može biti potrebno da se dokazi prikupe što je moguće brže
poslenjihovog pojavljivanja (videti 13.2.3).
Pogrešno funkcionisanje ili druga anomalijska ponašanja sistema mogu ukazivati na
napade ili postojeće kršenje sigurnosti i zato o njima treba uvek izveštavati kao mogućim
događajima u vezi sigurnosti informacija.
Više informacija o izveštavanju o događanjima u vezi sigurnosti informacija i
upravljanjuincidentima narušavanja sigurnosti informacija može se naći u ISO/IEC TR
18044.
106
1) analize unutrašnjih problema;
2) korišćenja sudskih dokaza u vezi potencijalnih kršenja ugovora ili zahteva iz
regulative ili u slučaju prekršajnih ili krivičnih postupaka, npr., iz zakona ozloupotrebi
računara ili zaštite podataka;
3) pregovaranja o naknadi od strane isporučioca softvera ili usluge;
d) treba pažljivo i formalno kontrolisati akcije za oporavak od kršenja zaštite i
popravkama otkaza na sistemu; procedure treba da osiguraju da:
1) pristup sistemima koji su u radu i podacima bude dozvoljen samo jasno
identifikovanom i ovlašćenom osoblju (videti takođe 6.2 o pristupu spolja);
2) sve akcije koje se preduzimaju u vanrednim situacijama budu detaljno
dokumentovane;
3) da se o vanrednim akcijama izvesti menadžment i da se one preispitaju na uređen
način;
4) da se integritet poslovnih sistema i kontrole potvrđuju uz minimalno kašnjenje.
O ciljevima upravljanja incidentima narušavanja sigurnosti informacija treba se
dogovoritisa menadžmentom i treba osigurati da oni koji su odgovorni za upravljanje u
slučajuincidenata narušavanja sigurnosti informacija razumeju prioritete organizacije kod
postupanja sa takvim incidentima.
Ostale informacije
Incidenti narušavanja sigurnosti informacija mogu prevazići granice organizacije ili
države. Da bi se odgovorilo na takve incidente postoji rastuća potreba za koordinisanjem
odgovora irazmenu informacija o incidentima sa spoljnim organizacijama kada to
odgovara.
108
23. Upravljanje kontinuitetom poslovanja
110
Razviti i implementirati planove za održavanje ili ponovno uspostavljanje operacija
(restore), obezbediti da raspoloživost informacija bude na zahtevanom nivou i vremenu
potrebnom za nastavljanje poslovanja nakon prekida ili otkaza kritičnih poslovnih procesa.
Uputstvo za implementaciju
Proces planiranja kontinuiteta poslovanja treba da uzme u obzir sledeće:
a) identifikovanje i sporazumevanje o svim odgovornostima i procedurama
kontinuiteta poslovanja;
b) identifikovanje prihvatljivih gubitaka informacija i servisa;
c) implementacija procedura oporavka i ponovnog uspostavljanja poslovnih
operacija, kao i obezbeđenje raspoloživosti informacija u okviru zahtevanih
vremenskih perioda; posebnu pažnju treba usmeriti na procenu zavisnosti
internih i eksternih poslova i postojećih ugovora;
d) operativne procedure za praćenje toka kompletiranja oporavka i ponovnog
uspostavljanja;
e) dokumentaciju o odobrenim procedurama i procesima;
f) odgovarajuća obuka osoblja o odobrenim procedurama i procesima,
uključujući upravljanje kriznim situacijama;
g) testiranje i ažuriranje planova.
Proces planiranja treba da se fokusira na zahtevane poslovne ciljeve, npr., ponovno
uspostavljanje specifičnih komunikacionih servisa ka klijentima u prihvatljivom roku.
Treba identifikovati servise i resurse, uključujući osoblje, neinformacione radne resurse,
kao i aranžmane zamene sredstava za obradu podataka. Takvi aranžmani za vraćanje na
prethodno stanje mogu biti ugovori u formi uzajamnih sporazuma sa trećim stranama, ili
pretplata na komercijalne usluge.
Planovi kontinuiteta poslovanja se odnose na ranjivosti organizacije, što znači da
sadrže osetljive informacije koje moraju biti odgovarajuće zaštićene. Kopije planova
kontinuiteta poslovanja treba uskladištiti na dovoljno udaljenoj lokaciji, da bi se izbegla
oštećenja usled katastrofe na glavnoj lokaciji. Menadžment treba da obezbedi da kopije
planova kontinuiteta poslovanja budu ažurni i zaštićeni na istom bezbednosnom nivou
koji se primenjuje za glavnu lokaciju. Ostali materijali neophodni za sprovođenje planova
kontinuiteta, takođe treba čuvati na udaljenoj lokaciji.
Ako se koriste privremene alternativne lokacije, treba osigurati da nivo
implementiranih kontrola zaštite bude ekvivalentan glavnoj lokaciji.
Ostale informacije
Treba napomenuti da se planovi i aktivnosti upravljanja krizama (videti 14.1.3.f)
mogu razlikovati od upravljanja kontinuitetom poslovanja; npr., može se pojavii neka kriza
koja se može prevazići primenom normalnih upravljačkih procedura.
Uputstvo za implementaciju
Svi planovi kontinuiteta poslovanja treba da imaju opis pristupa kontinuitetu, na
primer, pristup obezbeđenju raspoloživosti i zaštite informacija ili informacionog sistema.
Svaki plan takođe treba da specificira proširenja plana i uslova za te aktivnosti, kao i lica
koja su odgovorna za izvršenje svojih komponenata plana. Nakon identifikovanih novih
zahteva, sve procedure za vanredne događaje, npr., planove za evakuaciju, ili aranžmane
za vraćanje na prethodno stanje, treba na odgovarajući način korigovati. Procedure treba
uključiti u program upravljanja promenama, kako bi pitanja kontinuiteta poslovanja bila
propisno određena.
Svaki plan treba da ima svog vlasnika. Za procedure za vanredne događaje, planove
za manuelno vraćanje na prethodno stanje i planove za nastavljanje poslovnih operacija,
odgovorni su vlasnici odnosnih poslovnih procesa ili resursa. Za planove povratka na
prethodno stanje za alternativne tehničke servise, kao što su sredstva za obradu
informacija i komunikaciona sredstva, najčešće su odgovorni davaoci usluga.
Okvir planiranja kontinuiteta poslovanja treba da obuhvati identifikovane
bezbednosne zahteve i da uzme u obzir sledeće:
a) uslovi pod kojima se planovi aktiviraju – opisuju proces kojeg se treba
pridržavati (npr., kako proceniti situaciju, ko sve treba da bude uključen) pre
nego što se bilo koji plan aktivira;
b) procedure za vanredne događaje – opisuju akcije koje treba preduzeti posle
nekog incidenta koji ugrožava poslovne operacije;
c) procedure za vraćanje na prethodno stanje – opisuju akcije za premeštanje
najvažnijih poslovnih aktivnosti, ili servisa za podršku, na alternativne
privremene lokacije, kao i akcije vraćanja poslovnih procesa u funkciju u
okviru zahtevanog vremenskog perioda;
d) privremene operativne procedure za praćenje toka izvršavanja oporavka i
ponovnog uspostavljanja;
e) procedure za nastavljanje poslovanja – opisuju akcije koje treba preduzeti za
vraćanje poslovnih operacija u normalno stanje;
f) dinamički plan za održavanje – specificira kako i kada će se plan testirati i
definiše proces održavanja plana kontinuiteta poslovanja;
g) aktivnosti razvijanja svesti, edukacije i obuke – za razumevanje procesa
održavanja kontinuiteta i obezbeđenje njegove kontinualne efektivnosti;
h) lična odgovornost – kojima se opisuje ko je odgovoran za izvršavanje
određene komponente plana. Alternativne odgovornosti delegiraju se prema
zahtevu;
i) kritična imovina i resursi neophodni za izvršavanje procedura za vanredne
događaje, povratak na prethodno sanje i nastavljanje poslovanja.
112
Da bi se obezbedilo da planovi kontinuiteta poslovanja budu efektivni i ažurni, treba
ih redovno testirati i dopunjavati.
Uputstvo za implementaciju
Testiranje planova kontinuiteta poslovanja treba da obezbedi da svi članovi tima za
oporavak i drugo relevantno osoblje, budu svesni planova i svoje odgovornosti za
kontinuitet poslovanja, zaštitu informacija i svojih uloga u izvršavanju plana.
Dinamički plan testiranja planova kontinuiteta poslovanja treba da sadrži način i
vreme testiranja svakog elementa plana koji treba da se testira. Svaki element plana treba
testirati periodično.
Treba koristiti razne tehnike koje će garantovati da su planovi u skladu sa realnom
situacijom, koje uključuju:
a) testiranje raznih scenarija – predlaganje scenarija prekida poslovanja i
diskutovanje rešenja za oporavak;
b) simulacije – isključivo za obuku ljudi koji imaju rukovodeće uloge nakon
incidenta/krize;
c) testiranje tehničkog oporavka – obezbeđivanje efektivnosti ponovnog
uspostavljanja sistema;
d) testiranje oporavljanja na alternativnoj lokaciji – izvršavanje tekućih
poslovnih procesa na glavnoj lokaciji paralelno sa operacijamam oporavljanja
na udaljenoj lokaciji;
e) testiranje opreme i servisa dobavljača – osiguravanje da eksterni proizvodi i
usluge ispunjavaju ugovorne obaveze;
f) kompletna vežba – testiranje sposobnosti organizacije, personala, opreme,
osnovnih sredstava i procesa za prevazilaženje prekida.
Ove tehnike može koristiti bilo koja organizacija. Treba da se primenjuju na način koji
je relevantan za specifičan plan oporavka. Gde je potrebno, vode se zapisi testnih
rezultata i preduzetih akcija za poboljpavanje planova.
Za svaki plan kontinuiteta poslovanja treba dodeliti odgovornost za njegovo redovno
revidiranje. Identifikovane promene u poslovnim aranžmanima, koje se još nisu uključene
u planove kontinuitet poslovanja, treba da prati odgovarajuće ažuriranje plana. Ovaj
formalni proces kontrole promena treba da osigura da planovi budu ažurirani,
distribuirani i pojačani redovnim revizijama kompletnog plana.
Primeri promena kod kojih treba ažurirati planove kontinuiteta poslovanja su
nabavka nove opreme, poboljšavanje sistema i promene:
a) osoblja;
b) adresa ili brojeva telefona;
c) poslovne strategije;
d) lokacije, osnovnih sredstava i resursa;
e) zakona;
f) ugovarača, isporučilaca i ključnih klijenata;
g) procesa, novih ili povučenih;
h) rizika (operativnih i finansijskih).
Prevod međunarodnog standarda ISO/IEC 17799:2005(E)
24. Usklađenost
114
f) implementacija kontrola kako bi se osiguralo da nije prekoračen najveći
dozvoljenibroj korisnika;
g) sprovođenje provera da su ugrađeni samo autorizovani softveri i licencirani
proizvodi;
h) obezbeđenje politike održavanja odgovarajućih uslova licence;
i) obezbeđenje politike raspolaganja ili prenošenja softvera drugima;
j) korišćenje odgovarajućih alata za proveru;
k) pristanak na uslove sporazuma za softver i informacije koji se dobijaju sa
javnihmreža;
l) ne kopiranje, ne pretvaranje u neku drugu formu niti izdvajanje materijala iz
komercijalnih zapisa (filmova, audio snimaka) osim onoga što je dozvoljeno zakonom o
kopiranju;
m) ne kopiranje ni delimično niti potpuno, kniga, članaka, izveštaja ili drugih
dokumenata, osim onoga što je dozvoljeno zakonom o kopiranju.
Ostale informacije
Prava intelektualne svojine obuhvataju prava na kopiranje softvera ili dokumentacije,
projektantska prava, oznake proizvođača, patente, kao i licence za izvorne programe.
Softverski proizvodi u vlasništvu najčešće se isporučuju prema ugovoru o licenci
kojim se specificiraju odredbe i uslovi, npr., ograničavanje korišćenja takvih proizvoda na
specificirane mašine ili ograničenje kopiranja samo na izradu rezervnih kopija.
Pravaintelektualne svojine nad softverom koji se razvija u samoj organizaciji treba
razjasniti saosobljem.
Zakonodavni, regulativni i ugovorni zahtevi mogu postaviti ograničenja u pogledu
kopiranjamaterijala koji predstavlja vlasništvo. Posebno, oni mogu zahtevati da se koristi
jedinomaterijal koji je razvijen u samoj organizaciji, ili obezbeđen po licenci ili koji je za
organizaciju razvijen kod projektanta. Narušavanje prava na kopiranje može dovesti
dozakonske akcije koja može obuhvatiti i krivično gonjenje.
116
Usklađenost sa ovom politikom i svim odgovarajućim zakonskim aktima i propisima
za zaštitu podataka zahteva odgovarajuću strukturu rukovođenja i kontrole. Često se ovo
najbolje postiže imenovanjem odgovorne osobe, kao što je službenik za zaštitu
podataka,koji treba da pruža smernice rukovodiocima, korisnicima i davaocima usluga o
njihovimpojedinačnim odgovornostima i specifičnim procedurama kojih oni treba da se
pridržavaju. Odgovornost za postupanje sa informacijama o ličnosti i osiguranje
poznavanja principazaštite podataka treba treba da bude prema odgovarajućim zakonima
i regulativi. Da bi se podaci o ličnosti zaštitili, treba implementirati odgovarajuće tehničke i
organizacione mere.
Ostale informacije
Više zemalja uvelo je zakonske mere kojima su postavljene kontrole kod prikupljanja,
procesiranja i prenošenja podataka o ličnosti (u opštem slučaju informacija o
živimpojedincima koje je na osnovu tih informacija moguće identifikovati). Zavisno od
odgovarajućeg nacionalnog zakonodavstva, takve kontrole mogu postaviti obaveze pred
one koji prikupljaju, obrađuju i distribuiraju infomacije o ličnosti, i mogu ograničiti
mogućnost prenošenja tih podataka u druge zemlje.
118
Uputstvo za implementaciju
Rukovodioci treba redovno da preispituju usklađenost procesiranja informacija u
područjunjihove odgovornosti sa odgovarajućim politikama sigurnosti, standardima i svim
ostalimzahtevima za sigurnost.
Ako se, kao rezultat takvog preispitivanja pronađe bilo kakva neusklađenost,
rukovodioci treba da:
a) utvrde uzroke neusklađenosti;
b) vrednuju potrebu za preduzimanje akcija kako bi se osiguralo da se neusklađenost
ne ponovi;
c) utvrde i sprovedu odgovarajuće korektivne mere;
d) preispitaju sprovedene korektivne mere.
Rezultate preispitivanja i korektivne mere koje je sproveo menadžment treba zapisati
i te zapise treba održavati. Rukovodioci, kada se nezavisno preispitivanje preduzme u
područjunjihove odgovornosti, o tim rezultatima treba da izveste osobe koje sprovode
nezavisna preispitivanja (videti 6.1.8).
Ostale informacije
Operativni nadzor korišćenja sistema obuhvaćen je u 10.10.
Ispitivanje upadom i ocenjivanje ranjivosti pružaju brzu sliku sistema pri specifičnom
stanju u specifičnom trenutku. Ova brza slika ograničena je na one delove sistema koji
seispituju tokom pokušaja upada. Ispitivanje upadom i ocenjivanje ranjivosti ne
predstavljaju zamenu za ocenjivanje rizika.
120
Da bi se predupredila svaka mogućnost zloupotrebe ili kompromitacije, alati za audit
sistema treba da budu zaštićeni od pristupa.
Uputstvo za implementaciju
Alate za proveru informacionih sistema, npr., softvere ili datoteke sa podacima, treba
izdvojiti iz razvojnih ili operativnih sistema i ne treba ih držati u bibliotekama na trakama
ili u korisničkim područjima, osim ako im se ne dodeli odgovarajući nivo dodatne zaštite.
Ostale informacije
Ako su u proveru uključene treće strane, može postojati rizik da ove treće strane
zloupotrebe alate za proveru kao i informacije kojima organizacija treće strane pristupa.
Dabi se izbegao ovakav rizik mogu se razmotriti kontrole kao u 6.2.1 (za ocenu tih rizika) i
9.1.2 (za ograničenje fizičkog pristupa), a posledice treba sprečiti neposrednim
menjanjem lozinke koja je bila otkrivena proveravačima.