ISO-IEC 27001 I Uputstva Za Implementaciju Kontrola

Prevod međunaronih standarda:
ISO/IEC
27001:2005
Informacione tehnologije – Tehnike zaštite – Sistemi upravljanja zaštitom
informacija – Zahtevi
ISO/IEC
17799:2005
Informacione tehnologije – Tehnike zaštite – Praktična uputstva za
upravljanje zaštitom informacija
08
Sadrža
SADRŽAJ......................................................................................................................................0
PREDGOVOR...............................................................................................................................1
0. UVOD...................................................................................................................................1
0.1. Opšte...........................................................................................................................................1
0.2. Procesni pristup...........................................................................................................................2
0.3. Kompatibilnost sa drugim upravljačkim sistemima.....................................................................4
INFORMACIONE TEHNOLOGIJE – TEHNIKE ZAŠTITE – SISTEMI UPRAVLJANJA ZAŠTITOM
INFORMACIJA – ZAHTEVI...........................................................................................................5
1. OBIM....................................................................................................................................5
1.1. Opšte...........................................................................................................................................5
1.2. Primena.......................................................................................................................................5
2. NORMATIVNE REFERENCE...................................................................................................6
3. TERMINI I DEFINICIJE...........................................................................................................6
3.1. Asset (Vrednost/Imovina)............................................................................................................6
3.2. Availability (Raspoloživost)..........................................................................................................6
3.3. Confidentiality (Poverljivost)........................................................................................................6
3.4. Information security (Zaštita informacija)...................................................................................6
3.5. Information security event (Bezbednosni događaj).....................................................................7
3.6. Information security incident (Bezbednosni incident).................................................................7
3.7. Information security management system ISMS (Sistem upravljanja zaštitom informacija –
ISMS) 7
3.8. Integrity (Integritet).....................................................................................................................7
3.9. Residual risk (Preostali rizik)........................................................................................................8
3.10. Risk acceptance (Prihvatanje rizika)..........................................................................................8
3.11. Risk analysis (Analiza rizika).......................................................................................................8
3.12. Risk assessment (Procena rizika)...............................................................................................8
3.13. Risk evaluation (Evaluacija rizika)..............................................................................................8
3.14. Risk management (Upravljanje rizikom)....................................................................................8
3.15. Risk treatment (Tretiranje rizika)...............................................................................................8
3.16. Statement of applicability (Izjava o primenjivosti – SOA)..........................................................8
4. SISTEM UPRAVLJANJA ZAŠTITOM INFORMACIJA................................................................9
4.1. Opšti zahtevi................................................................................................................................9
4.2. Uspostavljanje i upravljanje ISMS................................................................................................9
4.2.1. Uspostavljanje ISMS.................................................................................................................9
4.2.2. Implementacija i rad ISMS......................................................................................................11
4.2.3. Monitoring i revizija ISMS.......................................................................................................12
4.2.4. Održavanje i poboljšavanje ISMS............................................................................................13
4.3. Zahtevi dokumentacije..............................................................................................................13
4.3.1. Opšte......................................................................................................................................13
4.3.2. Kontrola dokumentacije.........................................................................................................14
4.3.3. Kontrola zapisa.......................................................................................................................14
5. ODGOVORNOSTI MENADŽMENTA....................................................................................15
5.1. Angažovanje menadžmenta......................................................................................................15
5.2. Upravljanje resursima................................................................................................................15
5.2.1. Obezbeđenje resursa..............................................................................................................15
5.2.2. Obuka, svest i stručnost..........................................................................................................16
6. INTERNI AUDITI ISMS SISTEMA.........................................................................................16
7. MENADŽERSKA REVIZIJA ISMS..........................................................................................17
7.1. Opšte.........................................................................................................................................17
7.2. Ulazi revizije...............................................................................................................................17
7.3. Izlazi revizije...............................................................................................................................17
8. POBOLJŠAVANJE ISMS.......................................................................................................18
8.1. Kontinualno poboljšavanje........................................................................................................18
8.2. Korektivne akcije.......................................................................................................................18
8.3. Preventivne akcije......................................................................................................................18
ANNEX A...................................................................................................................................20
ANNEX B...................................................................................................................................28
ANNEX C...................................................................................................................................29
BIBLIOGRAFIJA..........................................................................................................................34
ISO/IEC 17799:2005...................................................................................................................1
0. UVOD...................................................................................................................................1
0.1. Šta je bezbednost informacija?....................................................................................................1
0.2. Zašto je potrebna bezbednost informacija..................................................................................1
0.3. Kako uspostaviti zahteve za bezbednost.....................................................................................2
0.4. Ocenjivanje rizika po sigurnost....................................................................................................2
0.5. Odabiranje kontrola.....................................................................................................................2
0.6. Polazna tačka u sigurnosti informacija.........................................................................................3
0.7. Kritični faktori uspeha..................................................................................................................3
0.8. Izrada sopstvenih smernica i uputstava.......................................................................................4
INFORMACIONE TEHNOLOGIJE – TEHNIKE ZAŠTITE – PRAKTIČNA UPUTSTVA ZA
UPRAVLJANJE ZAŠTITOM INFORMACIJA....................................................................................5
1. PREDMET I PODRUČJE PRIMENE.........................................................................................5
2. TERMINI I DEFINICIJE...........................................................................................................5
2.1. Asset (Imovina)............................................................................................................................5
2.2. Control (Kontrola)........................................................................................................................5
2.3. Guideline (Smernica)...................................................................................................................5
2.4. Information processing facilities (Sredstva za procesiranje informacija)....................................5
2.5. Information security (Sigurnost informacija)...............................................................................6
2.6. Information security event (Događaj u vezi sigurnosti informacija)............................................6
2.7. Information security incident (Incident narušavanja sigurnosti informacija)..............................6
2.8. Policy (Politika)............................................................................................................................6
2.9. Risk (Rizik)....................................................................................................................................6
2.10. Risk analysis (Analiza rizika).......................................................................................................6
2.11. Risk assessment (Ocenjivanje rizika)..........................................................................................6
2.12. Risk evaluation (Evaluacija rizika)..............................................................................................6
2.13. Risk management (Upravljanje rizicima)...................................................................................7
2.14. Risk treatment (Postupanje sa rizicima)....................................................................................7
2.15. Third party (Treća strana)..........................................................................................................7
2.16. Threat (Pretnja).........................................................................................................................7
2.17. Vulnerability (Ranjivost)............................................................................................................7
3. STRUKTURA OVOG STANDARDA.........................................................................................7
3.1. Poglavlja......................................................................................................................................7
3.2. Glavne kategorije sigurnosti........................................................................................................8
4. OCENJIVANJE I POSTUPANJE SA RIZICIMA..........................................................................8
4.1. Ocenjivanje rizika po sigurnost....................................................................................................8
4.2. Postupanje sa rizicima po sigurnost.............................................................................................9
5. POLITIKA ZAŠTITE..............................................................................................................10
5.1. Politika zaštite informacija.........................................................................................................10
5.1.1. Dokument politike zaštite informacija....................................................................................10
5.1.2. Revizija dokumenta politike zaštite informacija.....................................................................11
6. ORGANIZACIJA ZAŠTITE INFORMACIJA.............................................................................12
6.1. Interna organizacija...................................................................................................................12
6.1.1. Angažovanje menadžmenta u zaštiti informacija...................................................................12
6.1.2. Koordinisanje zaštitom informacija........................................................................................13
6.1.3. Dodeljivanje odgovornosti u zaštiti informacija......................................................................14
6.1.4. Autorizacioni proces na sredstvima za obradu informacija....................................................14
6.1.5. Sporazumi o poverljivosti.......................................................................................................15
6.1.6. Kontakt s nadležnim telima....................................................................................................16
6.1.7. Kontakti sa posebnim interesnim grupama............................................................................16
6.1.8. Nezavisne revizije zaštite informacija.....................................................................................17
6.2. Spoljne strane............................................................................................................................17
6.2.1. Identifikacija rizika koji se odnose na spoljne strane..............................................................18
6.2.2. Uključivanje bezbednosti u poslove sa klijentima...................................................................19
6.2.3. Uključivanje bezbednosti u ugovore sa trećim stranama.......................................................21
7. UPRAVLJANJE IMOVINOM.................................................................................................23
7.1. Odgovornost za imovinu............................................................................................................23
7.1.1. Inventar imovine.....................................................................................................................23
7.1.2. Vlasništvo imovine..................................................................................................................25
7.1.3. Prihvatljvo korišćenje imovine................................................................................................26
7.2. Klasifikacija informacija.............................................................................................................26
7.2.1. Smernice za klasifikaciju.........................................................................................................26
7.2.2. Označavanje i postupanje sa informacijama...........................................................................27
8. BEZBEDNOST LJUDSKIH RESURSA.....................................................................................28
8.1. Pre zaposlenja............................................................................................................................28
8.1.1. Uloge i odgovornosti...............................................................................................................28
8.1.2. Izbor kandidata.......................................................................................................................29
8.1.3. Uslovi za zapošljavanje...........................................................................................................30
8.2. Tokom zaposlenja......................................................................................................................31
8.2.1. Odgovornosti menadžmenta..................................................................................................31
8.2.2. Obrazovanje, obuka i razvoj svesti o potrebi zaštite informacija............................................31
8.2.3. Disciplinski postupak..............................................................................................................32
8.3. Prekid ili promena zaposlenja....................................................................................................33
8.3.1. Odgovornosti po prestanku ili promeni zaposlenja................................................................33
8.3.2. Vraćanje imovine....................................................................................................................33
8.3.3. Ukidanje prava pristupa..........................................................................................................34
9. FIZIČKA ZAŠTITA I ZAŠTITA RADNOG OKRUŽENJA.............................................................35
9.1. Obezbeđena područja...............................................................................................................35
9.1.1. Granice fizičke zaštite.............................................................................................................35
9.1.2. Kontrole fizičkog ulaza............................................................................................................36
9.1.3. Zaštita kancelarija, prostorija i sredstava................................................................................37
9.1.4. Zaštita od prirodnih i spoljnjih pretnji.....................................................................................37
9.1.5. Rad u zaštićenim područjima..................................................................................................37
9.1.6. Područja za javni pristup, isporuku i utovar............................................................................38
9.2. Zaštita opreme...........................................................................................................................38
9.2.1. Smeštaj i zaštita opreme.........................................................................................................39
9.2.2. Sredstva za podršku................................................................................................................39
9.2.3. Zaštita kablova........................................................................................................................40
9.2.4. Održavanje opreme................................................................................................................41
9.2.5. Zaštita izmeštene opreme......................................................................................................41
9.2.6. Bezbedno rashodovanje ili ponovno korišćenje opreme........................................................42
9.2.7. Izmeštanje imovine.................................................................................................................42
10. UPRAVLJANJE KOMUNIKACIJAMA I OPERATIVNIM RADOM..........................................43
10.1. Operativne procedure i odgovornosti......................................................................................43
10.1.1. Dokumentovane operativne procedure...............................................................................43
10.1.2. Upravljanje promenama.......................................................................................................44
10.1.3. Razdvajanje zaduženja..........................................................................................................45
10.1.4. Razdvajanje razvojne, testne i operativne opreme...............................................................45
10.2. Upravljanje uslugama treće strane..........................................................................................46
10.2.1. Pružanje usluga.....................................................................................................................46
10.2.2. Monitoring i revizija usluga treće strane..............................................................................47
10.2.3. Upravljanje promenama usluga treće strane........................................................................48
10.3. Planiranje i prihvatanje sistema...............................................................................................48
10.3.1. Upravljanje kapacitetom.......................................................................................................48
10.3.2. Prihvatanje sistema..............................................................................................................49
10.4. Zaštita od malicioznih i mobilnih kodova.................................................................................50
10.4.1. Kontrole protiv malicioznih kôdova......................................................................................50
10.4.2. Kontrole mobilnih kôdova....................................................................................................51
10.5. Rezervne kopije (Back-up).......................................................................................................52
10.5.1. Rezervne kopije informacija.................................................................................................52
10.6. Upravljanje zaštitom mreže.....................................................................................................53
10.6.1. Kontrole mreže.....................................................................................................................53
10.6.2. Servisi zaštite mreža.............................................................................................................54
10.7. Rukovanje medijumima...........................................................................................................54
10.7.1. Upravljanje prenosivim medijumima....................................................................................54
10.7.2. Rashodovanje medijuma......................................................................................................55
10.7.3. Procedure za postupanje sa informacijama..........................................................................56
10.7.4. Zaštita sistemske dokumentacije..........................................................................................56
10.8. Razmena informacija...............................................................................................................57
10.8.1. Politike i procedure kod razmene informacija......................................................................57
10.8.2. Sporazumi o razmeni............................................................................................................59
10.8.3. Fizički medijumi u tranzitu....................................................................................................60
10.8.4. Elektronske poruke...............................................................................................................60
10.8.5. Poslovni informacioni sistemi...............................................................................................61
10.9. Usluge elektronske trgovine....................................................................................................62
10.9.1. Elektronska trgovina.............................................................................................................62
10.9.2. On-line transakcije................................................................................................................63
10.9.3. Javno dostupne informacije..................................................................................................64
10.10. Monitoring.............................................................................................................................64
10.10.1. Audit logovi.........................................................................................................................65
10.10.2. Monitoring korišćenja sistema............................................................................................65
10.10.3. Zaštita informacija u zapisima............................................................................................67
10.10.4. Logovi administratora i operatera......................................................................................67
10.10.5. Logovi neispravnosti...........................................................................................................68
10.10.6. Sinhronizacija časovnika.....................................................................................................68
11. KONTROLA PRISTUPA......................................................................................................69
11.1. Poslovni zahtevi za kontrolu pristupa......................................................................................69
11.1.1. Politika kontrole pristupa.....................................................................................................69
11.2. Upravljanje korisničkim pristupom..........................................................................................70
11.2.1. Registrovanje korisnika.........................................................................................................70
11.2.2. Upravljanje privilegijama......................................................................................................71
11.2.3. Upravljanje korisničkim lozinkama.......................................................................................72
11.2.4. Revizija prava korisničkog pristupa.......................................................................................73
11.3. Odgovornosti korisnika............................................................................................................73
11.3.1. Korišćenje lozinke.................................................................................................................73
11.3.2. Korisnička oprema bez nadzora............................................................................................74
11.3.3. Politika praznog stola i ekrana..............................................................................................75
11.4. Kontrola mrežnog pristupa......................................................................................................76
11.4.1. Politika korišćenja mrežnih servisa.......................................................................................76
11.4.2. Autentifikacija udaljenih korisnika........................................................................................76
11.4.3. Identifikacija mrežnih uređaja..............................................................................................77
11.4.4. Sprečavanje udaljene analize i konfiguracije portova...........................................................78
11.4.5. Razdvajanje u mrežama........................................................................................................78
11.4.6. Kontrola mrežne konekcije...................................................................................................79
11.4.7. Kontrola rutiranja mreže......................................................................................................80
11.5. Kontrola pristupa operativnom sistemu..................................................................................80
11.5.1. Bezbednosne log-on procedure............................................................................................81
11.5.2. Identifikacija i autentifikacija korisnika.................................................................................82
11.5.3. Sistem upravljanja lozinkama...............................................................................................82
11.5.4. Korišćenje sistemskih alata (system utility)..........................................................................83
11.5.5. Time-out sesije.....................................................................................................................84
11.5.6. Ograničavanje trajanja konekcije..........................................................................................84
11.6. Kontrola pristupa aplikacijama i informacijama......................................................................85
11.6.1. Restrikcije na pristup informacijama....................................................................................85
11.6.2. Izolacija osetljivih sistema....................................................................................................86
11.7. Prenosivi računarski uređaji i rad sa udaljenosti (teleworking)...............................................86
11.7.1. Rad i komunikacije sa prenosivim računarskim uređajima...................................................86
11.7.2. Rad sa udaljenosti (Teleworking)..........................................................................................88
12. AKVIZICIJA, RAZVOJ I ODRŽAVANJE INFORMACIONIH SISTEMA.....................................89
12.1. Bezbednosni zahtevi za informacione sisteme........................................................................89
12.1.1. Analiza i specifikacija bezbednosnih zahteva........................................................................89
12.2. Ispravna obrada u aplikacijama...............................................................................................90
12.2.1. Validacija ulaznih podataka..................................................................................................90
12.2.2. Kontrola interne obrade.......................................................................................................91
12.2.3. Integritet poruka...................................................................................................................92
12.2.4. Validacija izlaznih podataka..................................................................................................92
12.3. Kriptografske kontrole.............................................................................................................93
12.3.1. Politika korišćenja kriptografskih kontrola............................................................................93
12.3.2. Upravljanje ključevima.........................................................................................................94
12.4. Zaštita sistemskih fajlova.........................................................................................................96
12.4.1. Kontrola operativnog softvera..............................................................................................96
12.4.2. Zaštita podataka za testiranje sistema..................................................................................97
12.4.3. Kontrola pristupa izvornim programskim kodovima.............................................................98
12.5. Zaštita procesa razvoja i podrške.............................................................................................99
12.5.1. Procedure za kontrolu promena...........................................................................................99
12.5.2. Tehničke revizije aplikacija nakon izmena na operativnom sistemu...................................100
12.5.3. Restrikcije na izmene softverskih paketa............................................................................100
12.5.4. Curenje informacija............................................................................................................101
12.5.5. Razvoj softvera van organizacije (outsourcing)...................................................................101
12.6. Upravljanje tehničkom ranjivošću.........................................................................................102
12.6.1. Kontrola tehničkih ranjivosti...............................................................................................102
13. UPRAVLJANJE BEZBEDNOSNIM INCIDENTOM..............................................................104
13.1. Izveštavanje o bezbednosnim događajima i slabostima........................................................104
13.1.1. Prijavljivanje bezbednosnih događaja.................................................................................104
13.1.2. Prijavljivanje bezbednosnih slabosti...................................................................................105
13.2. Upravljanje bezbednosnim incidentima i poboljšanje...........................................................106
13.2.1. Odgovornosti i procedure...................................................................................................106
13.2.2. Učenje na bezbednosnim incidentima................................................................................107
13.2.3. Prikupljanje dokaza.............................................................................................................108
14. UPRAVLJANJE KONTINUITETOM POSLOVANJA.............................................................109
14.1. Bezbednosni aspekti upravljanja kontinuitetom poslovanja.................................................109
14.1.1. Uključivanje zaštite informacija u proces upravljanja kontinuitetom poslovanja...............109
14.1.2. Procena kontinuiteta poslovanja i rizika.............................................................................110
14.1.3. Razvoj i implementacija planova kontinuiteta poslovanja koji uključuju zaštitu informacija
111
14.1.4. Okvir za planiranje kontinuiteta poslovanja.......................................................................112
14.1.5. Testiranje, održavanje i ponovna procena planova kontinuiteta poslovanja......................113
15. USKLAĐENOST...............................................................................................................114
15.1. Usklađenost sa zakonskim zahtevima....................................................................................114
15.1.1. Identifikovanje primenljivih zakona....................................................................................114
15.1.2. Prava intelektualne svojine.................................................................................................114
15.1.3. Zaštita zapisa organizacije..................................................................................................115
15.1.4. Zaštita podataka i privatnosti ličnih informacija.................................................................117
15.1.5. Sprečavanje zloupotrebe opreme za obradu informacija...................................................117
15.1.6. Regulativa za kriptografske kontrole..................................................................................118
15.2. Usklađenost sa tehničkim politikama i standardima i tehnička usklađenost.........................119
15.2.1. Usklađenost sa politikama i standardima zaštite................................................................119
15.2.2. Provera tehničke usklađenosti............................................................................................119
15.3. Razmatranja audita informacionih sistema...........................................................................120
15.3.1. Kontrole audita informacionih sistema...............................................................................120
15.3.2. Zaštita alata za audit informacionih sistema.......................................................................121
Prevod međunarodnog standarda ISO/IEC 27001:2005(E)
Predgovor
ISO (Međunarodna Organizacija za Standardizaciju) i IEC (Međunarodni Komisija za
Elektrotehniku) zajedno čine svetski specijalizovani sistem za Standardizaciju. Državna tela
koja su članovi ISO ili IEC učestvuju u razvoju Međunarodnih Standarda posredstvom
određenih organizacija koje sazivaju tehničke odbore za određene oblasti tehničkih
aktivnosti. ISO i IEC tehnički odbori sarađuju u domenima zajedničkih interesa. Ostale
Međunarodne, vladine ili nevladine organizacije koje imaju veze sa ISO i IEC, takođe
preuzimaju deo posla. U domenu informacionih tehnologija, ISO i IEC imaju formiran
udruženi odbor za tehniku, ISO/IEC JTC 1.
Međunarodni Standardi formulisani su u saglasnosti sa propozicijama datim u
ISO/IEC Directives, Part 2.
Glavni zadatak udruženog tehničkog odbora je priprema Međunarodnih Standarda.
Kada udruženi tehnički odbor usvoji predlog Međunarodnog Standarda, daje se državnim
telima na usvajanje putem glasanja. Publikovanje Međunarodnog Standarda zahteva
odobrenje od minimalno 75% učesnika državnih tela.
Skreće se pažnja na mogućnost da neki od elemenata ovog dokumenta mogu biti
predmet autorskih prava (patent). ISO i IEC se uzdržavaju od odgovornosti za bilo koja
identifikovana autorska prava.
ISO/IEC 27001 was prepared by Technical Committee ISO/IEC JTC 1, Information
technology, Subcommittee SC 27, IT Security techniques.
1. Uvod
1.1. Opšte
Cilj ovog Međunarodnog Standarda je da obezbedi model za:
 uspostavljanje;
 implementaciju;
 primenu;
 monitoring;
 reviziju;
 održavanje; i
 poboljšavanje sistema upravljanja zaštitom informacija (ISMS).
Usvajanje ISMS predstavlja strateške ciljeve organizacije.
Dizajn i implementacija ISMS organizacije zavisi od njenih:
 poslovnih potreba i ciljeva,
1
 bezbenosnih zahteva,
 vrste poslovnih procesa,
 veličine i kompleksnosti organizacije.
Podrazumeva se da će ISMS sistem i podsistemi koji ga podržavaju, tokom primene
doživeti određene izmene. Implementacija ISMS se usklađuje prema potrebama
organizacije, na primer, mala kompleksnost organizacije zahtevaće jednostavnije rešenje
ISMS.
Ovaj Međunarodni Standard može da se koristi za procenu usaglašenosti internih i
eksternih zainteresovanih strana.
1.2. Procesni pristup

Ovaj Međunarodni Standard usvaja procesni pristup za:
 uspostavljanje;
 implementaciju;
 primenu;
 monitoring;
 reviziju;
 održavanje; i
 poboljšavanje sistema upravljanja zaštitom informacija (ISMS).
Potreba organizacije je da identifikuje i upravlja raznim aktivnostima da bi se
obezbedio efektivan rad. Svaka aktivnost koja koristi resurse i upravljanje radi
obezbeđenja transformisanja ulaza u izlaze može da se smatra procesom. Često, izlazi
jednog procesa predstavljaju ulaze u druge procese.
Procesni pristup je primena sistema procesa u organizaciji koji svojom međusobnom
interakcijom identifikuju druge procese i njihovo upravljanje.
Procesni pristup za upravljanje sistemom zaštite informacija predstavljen u ovom
Međunarodnom Standardu ističe značaj:
 razumevanja bezbednosnih zahteva organizacije i potrebe za
uspostavljanjem politike i ciljeva zaštite informacija;
 implementacije i primene kontrola za upravljanje celokupnim poslovnim
rizicima organizacije;
 monitoringa i revizije efektivnosti rada ISMS; i
 kontinualnog poboljšavanja koji koristi objektivne merne rezultate.
Ovaj Međunarodni Standard usvaja PDCA (Plan-Do-Check-Act) model, na kojeg se
primenjuje struktura svih ISMS procesa. Slika 1. ilustruje način na koji ISMS za ulazne
podatke uzima bezbednosne zahteve i očekivanja zainteresovanih strana, a putem
neophodnih akcija i procesa produkuje bezbednosne izlaze koji zadovoljavaju te zahteve i
očekivanja. Slika 1.. takođe ilustruje veze između procesa predstavljenih u klauzulama 5,
6, 7, 8 i 9.
2
Usvajanje PDCA modela takođe odražava principe upravljanja zaštitom informacionih

sistema i mreža postavljene u OECD Guidelines (2002)1. Ovaj Međunarodni Standard nudi
robustan model za implementaciju principa ovih uputstava i smernica za procenu rizika,
dizajn i implementaciju zaštite, upravljanje zaštitom i ponovnu procenu.
Primer 1 – Bezbednosni zahtev može biti da narušavanje bezbednosti informacija ne
izazove ozbiljnije finansijske posledice i/ili gubitak ugleda i poverenja.
Primer 2 – Očekivanje može biti da postoje obučeni ljudi koji su u stanju da
odgovore na ozbiljne bezbednosne incidente, na primer, hakerski napad na eBusiness
web sajt.
Plan Act
Upravljan sistem
Bezbednosni zahtevi i Uspostavljanje Održavanje i
zaštita informacija
poslovna očekivanja ISMS poboljšavanje ISMS
Do Check
Implementacija i Monitoring i revizija Zainteresovane

Zainteresovane strene
primena ISMS ISMS strane
Slika 1. PDCA model ISMS procesa
Plan (Uspostavljanje dokumentovanog ISMS) – Uspostavljanje politike, ciljeva,

procesa i procedura relevantnih za upravljanja rizikom i unapređivanjem zaštite koja će
obezbediti rezultate u skladu sa celokupnim politikama i ciljevima organizacije.
Do (ISMS implementacija i primena ISMS) – Implementacija i primena ISMS
politike, kontrola, procesa i procedura.
Check (Monitoring i revizija ISMS) – Procena i, gde je to moguće, merenje
rezultata rada procesa u odnosu na ISMS politiku, ciljeve i praktična iskustva, kao i
kreiranje izveštaja o rezultatima za menadžersku reviziju.
Act (Održavanje i poboljšavanje ISMS) – Preduzimanje korektivnih i
preventivnih akcija, na osnovu rezultata internog ISMS audita i menadžerskih revizija,
uključujući i druge relevantne informacija, radi održavanja kontinualnog poboljšavanja
ISMS.
1.3. Kompatibilnost sa drugim upravljačkim sistemima

Da bi se održala konzistentnost i podrška integralne implementacije i primene sa
sistemima upravljanja srodnih Standarda, ovaj Međunarodni Standard je usklađen sa ISO
9001:2000 i ISO 14001:2004. Izborom jednog odgovarajućeg dizajna sistema upravljanja
1
OECD Guidelines for the Security of Information Systems and Networks — Towards a Culture of Security.
Paris OECD, July 2002. www.oecd.org; http://www.oecd.org/dataoecd/16/22/15582260.pdf
3
moguće je odgovoriti zahtevima ovih upravljačkih Standarda. U tabeli C.1, mapirane su

relacije klauzula ovog Međunarodnog Standarda sa ISO 9001:2000 i ISO 14001:2004.
Dizajn ovog Standarda omogućava da organizacija uskladi ili integriše svoj ISMS sa sa
zahtevima odnosnih upravljačkih sistema.
4
Informacione tehnologije – Tehnike zaštite – Sistemi

upravljanja zaštitom informacija – Zahtevi
Važno – Ova publikacija ne potencira uključivanje svih odredbi ugovora. Za
korektnost njegove primene odgovorni su sami korisnici. Usaglašavanje sa
Međunarodnim Standardom ne eliminiše odgovornost od zakonskih obaveza.
2. Obim
2.1. Opšte
Ovaj Međunarodni Standard pokriva sve tipove organizacija, (npr., komercijalna
preduzeća, vladine agencije, neprofitne organizacije) i u kontekstu celokupnih poslovnih
rizika organizacije specificira zahteve za:
 uspostavljanje;
 implementaciju;
 primenu;
 monitoring;
 reviziju;
 održavanje; i
 poboljšavanje dokumentovanog ISMS.
Takođe, specificira zahteve za implementaciju kontrola zaštite koje su usklađene sa
potrebama pojedinih organizacija ili njihovih delova.
Dizajn ISMS obezbeđuje srazmeran i adekvatan odabir kontrola zaštite informacione
imovine i ostvaruje poverenje zainteresovanih strana.
Napomena 1 – U poslovnom smislu ovaj Međunarodni Standard svoje aktivnosti
usmerava na najkritičnije poslovne procese organizacije.
Napomena 2 – ISO/IEC 17799:2005 nudi uputstva za implementaciju kontrola zaštite.
2.2. Primena
Zahtevi ovog Međunarodnog Standarda su generički, postavljeni tako da budu
primenjivi u svakom tipu, karakteru i veličini organizacije. Kada organizacija pretenduje da
se usaglasi sa ovim Standardom, izostavljanje nekih od zahteva navedenih u klauzulama
5, 6, 7, 8 i 9. nije prihvatljivo.
Ako se ispostavi da su određena izuzeća kontrola neophodna da bi se zadovoljili
kriterijumi prihvatljivog rizika, potrebno je obezbediti obrazloženje od strane
odgovornog lica koje dokazuje da su odnosni rizici prihvatljivi. Kada se neke kontrole
5
izostave, saglasnost sa ovim Međunarodnim Standardom neće biti prihvaćena osim ako
takvi izuzeci ne doprinose zaštiti informacija organizacije koja je u skladu sa
bezbednosnim zahtevima ustanovljenim u procesu procene rizika i usklađenosti sa
zakonskim zahtevima i propisima.
Napomena – Ukoliko u organizaciji već postoji operativan sistem upravljanja
poslovnim procesima (npr., uspostavljen prema Standardima ISO 9001 ili ISO 14001), u
većini slučajeva takav sistem upravljanja može da odgovori zahtevima i ovog
Međunarodnog Standarda.
3. Normativne reference
Za primenu ovog dokumenta obavezna su sledeća dokumenta. Kod referenci kod
kojih je naveden datum, primenjuje se samo navedeno izdanje. Za reference kod kojih
nije naveden datum, primenjuje se poslednje izdanje navedenog dokumenta, uključujući
izmene i dopune (amimane).
ISO/IEC 17799:2005, Information technology — Security techniques — Code of
practice for information security management
4. Termini i definicije
4.1. Asset (Vrednost/Imovina)

Sve što je vredno za organizaciju, [ISO/IEC 13335-1:2004].
4.2. Availability (Raspoloživost)

Stanje koje u kojem je pristup i korišćenje imovine dozvoljen samo na zahtev
autorizovanih entiteta, [ISO/IEC 13335-1:2004].
4.3. Confidentiality (Poverljivost)

Stanje u kojem informacija nije dostupna i izložena neautorizovanim pojedincima,
entitetima, ili procesima, [ISO/IEC 13335-1:2004].
4.4. Information security (Zaštita informacija)

Čuvanje poverljivosti, integriteta i raspoloživosti informacija, što može da se proširi
obezbeđenjem autentičnosti, neporecivosti, kontrolisane odgovornosti i bezbednosne
pouzdanosti, [ISO/IEC 17799:2005].
6
4.5. Information security event (Bezbednosni događaj)

Identifikovani događaj koji ukazuje: da stanje sistema, servisa ili mreže eventualno
narušava politiku zaštite informacija; na otkaz mehanizama zaštite; ili da prethodni
događaj nije bio identifikovan kao bezbednosno relevantan, [ISO/IEC TR 18044:2004].
4.6. Information security incident (Bezbednosni incident)

Jedan ili više neželjenih i neočekivanih bezbednosnih događaja sa velikom
verovatnoćom da kompromituje poslovne aktivnosti i da ugrozi bezbednost informacija,
[ISO/IEC TR 18044:2004].
4.7. Information security management system ISMS (Sistem

upravljanja zaštitom informacija – ISMS)
Sistem upravljanja zaštitom informacija je deo celokupnog upravljačkog sistema
organizacije, koji se bazira na:
 proceni rizika;
 implementaciji;
 primeni;
 monitoringu;
 reviziji; i
 održavanju i poboljšavanju sistema zaštite informacija.
Napomena – Sistem upravljanja uključuje:
 organizacionu strukturu;
 politike;
 planirane aktivnosti;
 odgovornosti;
 prakse rada;
 procedure;
 procese; i
 resurse.
4.8. Integrity (Integritet)

Stanje očuvanja neizmenjenosti i celovitosti imovine, [ISO/IEC 13335-1:2004].
4.9. Residual risk (Preostali rizik)

Nivo rizika preostao posle tretiranja rizika, [ISO/IEC Guide 73:2002].
7
4.10. Risk acceptance (Prihvatanje rizika)

Odluka o prihvanju rizika, [ISO/IEC Guide 73:2002].
4.11. Risk analysis (Analiza rizika)

Sistematsko korišćenje informacija za identifikovanje i vrednovanje rizika, [ISO/IEC
Guide 73:2002].
4.12. Risk assessment (Procena rizika)

Proces analize i evaluacije rizika, [ISO/IEC Guide 73:2002].
4.13. Risk evaluation (Evaluacija rizika)

Proces određivanja značaja rizika poređenjem rezultata procene sa uspostavljenim
kriterijumima za rizike koji zahtevaju evaluaciju, prihvaćanje ili tretiranje, [ISO/IEC Guide
73:2002].
4.14. Risk management (Upravljanje rizikom)

Aktivnosti vođenja i kontrole organizacije s obzirom na rizike, [ISO/IEC Guide
73:2002].
4.15. Risk treatment (Tretiranje rizika)

Proces odabira i implementacije kontrola modifikacije rizika, [ISO/IEC Guide
73:2002].
Napomena – U ovom Standardu Termin „kontrola“ koristi se kao sinonim za „mera“.
4.16. Statement of applicability (Izjava o primenjivosti – SOA)

Dokumentovana izjava da su ciljevi kontrola i kontrole relevantne i primenjive na
ISMS organizacije.
Napomena – Ciljevi kontrola i kontrole bazirane su na:
 rezultatima i zaključcima iz procesa procene i tretiranja rizika;
 normativnim zahtevima;
 ugovornim obavezama; i
 zahtevima organizacije za zaštitu poslovnih informacija.
8
5. Sistem upravljanja zaštitom informacija
5.1. Opšti zahtevi

U kontekstu rizika za celokupne poslovne aktivnosti, organizacija:
 uspostavlja,
 implementira,
 primenjuje,
 monitoriše,
 revidira,
 održava i poboljšava dokumentovan ISMS sistem.
Slika 1. sadrži model procesa koji se koriste u ovom Međunarodnom Standardu.
5.2. Uspostavljanje i upravljanje ISMS

5.2.1. Uspostavljanje ISMS
Za uspostavljanje dokumentovanog ISMS organizacija preduzima sledeće:
a) Definisanje obima i granica ISMS u skladu sa:
 karakteristikama poslovanja;
 tipom informacionog sistema;
 lokacijom;
 opremom;
 tehnologijama; i
 pojedinostima za opravdanje bilo kojih izuzeća iz oblasti primene (videti
2.2).
b) Definisanje ISMS politike u skladu sa karakteristikama poslovanja, tipom
organizacije, lokacijom, opremom i tehnologijama, koja:
1) uključuje okvir za postavljanje ciljeva, smernica i principa u
aktivnostima zaštite informacija;
2) zadovoljava poslovne, normativne i ugovorne bezbednosne zahteve;
3) odgovara strateškim ciljevima upravljanja rizicima organizacije, na
osnovu kojih će biti uspostavljen i održavan ISMS;
4) uspostavlja kriterijume evaluaacije rizika (videti 4.2.1pod);
5) mora biti odobrena od strane rukovodstva.
Napomena – U ovom Međunarodnom Standardu ISMS politika predstavlja nadskup
politika zaštite informacija, koje mogu biti izrađene u okviru jednog dokumenta.
c) Definisanje pristupa proceni rizika organizacije.
9
1) Određivanje metodologije za procenu rizika koja je u skladu sa ISMS

organizacije, identifikovanom zaštitom poslovnih informacija i
zakonskim i ugovornim zahtevima.
2) Uspostavljanje kriterijuma za prihvatanje rizika i identifikovanje
prihvatljivih nivoa rizika (videti 5.1ww).
Odabrana metodologija procene rizika mora obezbediti uporedive i ponovljive
rezultate.
Napomena – Primeri metodologija za procenu rizika mogu se naći u ISO/IEC TR
13335-3, Information technology — Guidelines for the management of IT Security —
Techniques for the management of IT Security.
d) Identifikovanje rizika.
1) Identifikovanje imovine u oblastima primene ISMS i vlasnike1
imovine.
2) Identifikovanje pretnji za imovinu.
3) Identifikovanje ranjivosti imovine koje pretnje mogu iskoristiti.
4) Identifikovanje uticaja koji narušavaju poverljivost, integritet ili
raspoloživost imovine.
e) Analiziranje i evaluacija rizika.
1) Proceniti uticaje na poslovanje organizacije, koji mogu nastati usled
narušavanja (otkaza, proboja, zaobilaženja) sistema zaštite, uzimajući
u obzir posledice gubitka poverljivosti, integriteta ili raspoloživosti
imovine.
2) Proceniti realnu verovatnoću narušavanja sistema zaštite usled
iskorišćavanja ranjivosti od strane pretnji, uticaje na vrednosti vezane
za te ranjivosti i evaluirati trenutno implementirane kontrole zaštite.
3) Odrediti nivoe rizika.
4) Utvrditi da li su rizici prihvatljivi ili zahtevaju obradu korišćenjem
kriterijuma za prihvatanje rizika uspostavljenim u nad4.2.1nad.
f) Identifikovanje i evaluacija mogućnosti delovanja na rizike.
Moguće aktivnosti uključuju:
1) primenu odgovarajućih kontrola za smanjenje rizika;
2) iskustveno i objektivno prihvatanje rizika, u skladu sa politikama
organizacije i kriterijumima za prihvatanje rizika (videti 4.2.1nad);
3) izbegavanje rizika; i
4) transfer određenih poslovnih rizika na druge entitete, npr., na
osiguranja, dobavljače.
g) Izbor ciljeva kontrola i kontrola za tretiranje rizika.
1
Izraz ‘vlasnik’ predstavlja osobu ili entitet koji ima odgovornost, odobrenu od strane
menadžmenta, za kontrolu, produkciju, održavanje, korišćenje i zaštitu imovine. Izraz ’vlasnik’ ne
podrazumeva da lice zaista ima vlasnička prava nad imovinom.
10
Ciljevi kontrola i kontrole biraju se i implementiraju u skladu sa zahtevima

identifikovanim u procesu procene 4.2.1c i obrade 4.2.1f rizika. U izbor
kontrola se uključuju kriterijumi prihvatljivog rizika (videti 4.2.1nad), kao i
zakonski zahtevi, propisi i ugovorne obaveze.
U sklopu ovog procesa i u skladu sa identifikovanim zahtevima zadaju se
ciljevi kontrola i izbor odgovarajućih kontrola iz Annex A.
Ciljevi kontrola i kontrole iz Annex A nisu konačne i moguće je implementirati
dodatne ciljeve kontrola i kontrole.
Napomena – Annex A sadrži listu osnovnih kontrola zaštite klasičnih
organizacija. Aneks A je polazna osnova za izbor kontrola, gde korisnici ovog
Standarda mogu proveriti da nisu nešto prevideli.
h) Za predložene preoastale rizike obezbediti odobrenje menadžmenta.
i) Za implementaciju i primenu ISMS obezbediti autorizaciju menadžmeta.
j) Pripremiti izjavu o primenjivosti (Statement of Applicability – SOA):
1) navesti izabrane ciljeve kontrola i kontrole iz 4.2.1g i razloge za
njihov izbor;
2) navesti postojeće ciljeve kontrola i kontrole (videti 4.2.1e)2); i
3) opravdati razloge izostavljanja nekih ciljeva kontrola i kontrola iz
Annex A.
Napomena – Izjava o primenjivosti daje pregled usvojenih rešenja za postupanje sa
rizicima. Opravdavanje zbog izuzeća nekih kontrola mora omogućiti unakrsnu proveru da
kontrole nisu greškom izostavljene.
5.2.2. Implementacija i rad ISMS

Organizacija preduzima sledeće:
a) Formulisanje plana tretiranja rizika koji identifikuje odgovarajuće
upravljačke akcije, resurse, odgovornosti i prioritete za upravljanje
bezbednosnim rizicima (videti 6).
k) Implementacija plana tretiranja rizika da bi se dostigli identifikovani ciljevi
kontrola, koje uključuju finansijska razmatranja i dodelu uloga i odgovornosti.
l) Implementacija kontrola odabranih u fazi 4.2.1g da bi se zadovoljili njihovi
ciljevi.
m) Definisanje metrike efektivnosti odabranih kontrola ili grupa kontrola i
specificirati način korišćenja mernih rezultata u svrhu povećanja efektivnosti
kontrola, da bi se dobili uporedivi i produktivni rezultati (videti 4.2.3r).
Napomena – Merenje efektivnosti kontrola omogućava da menadžment i osoblje
ustanove kvalitet dostizanja planiranih ciljeva kontrola.
n) Implementacija programe obuke i podizanje svesti o potrebi zaštite (videti
6.2.2).
o) Upravljanje primenom ISMS-a.
p) Upravljanje resursima ISMS-a (videti 6.2).
11
q) Implementacija procedura i kontrola za detekciju i reagovanje na bezbedne

incidente (videti 4.2.3a).
5.2.3. Monitoring i revizija ISMS

Organizacija preduzima sledeće:
a) Sprovođenje monitoringa i revizije procedura i kontrola zbog:
1) detektovanja grešaka u rezultatima procesiranja;
2) identifikovanja pokušaja i uspešno realizovanih narušavanja sistema
zašite i incidenata;
3) obezbeđivanje da menadžment ima uvid i mogućnost da odredi da li
se delegirane uloge ili implementirane tehnologije u sistemu zaštite
sprovode prema očekivanjima;
4) podrške u otkrivanju bezbednosnih događaja, da bi se korišćenjem
indikatora predupredila pojava bezbednosnih incidenata; i
5) utvrđivanje da li su akcije koje su preduzete za rešavanje povrede
zaštite bile efektivne.
r) Sprovođenje redovne revizije efektivnosti ISMS (uključujući zadovoljenje
ISMS politike i ciljeva, i reviziju kontrola zaštite), uzimajući u obzir rezultate
audita zaštite, incidente, merne rezultate efektivnosti, sugestije i reakcije
svih zainteresovanih strana.
s) Merenje efektivnosti kontrola u cilju verifikacije ispunjenja bezbednosnih
zahteva.
t) Revidiranje procenjenih rizika u planiranim intervalima i revizija preostalih
rizika i identifikovanih prihvatljivih nivoa rizika, uzimajući u obzir promene:
1) u organizaciji;
2) u tehnologijama;
3) poslovnih ciljeva i procesa;
4) identifikovanih pretnji;
5) efektivnosti implementiranih kontrola; i
6) spoljnjih događaja, kao što su izmene u zakonima, propisima,
ugovornim obavezama i društvu.
u) Redovno sprovođenje internog ISMS audita (videti 7).
Napomena – Interni audit (first party audit) sprovodi sama organizacija za interne
potrebe.
v) Redovno sprovođenje menadžerskih revizija ISMS, da bi obim ISMS ostao
adekvatan i da se identifikuju mogućnosti poboljšavanja svih ISMS procesa
(videti 8.1).
w) Ažuriranje planova zaštite da bi se uključili nalazi monitoringa i revizije.
x) Vođenje zapisa aktivnosti i događaja koji mogu imati uticaj na efektivnost ili
rad ISMS (videti 5.3.3).
12
5.2.4. Održavanje i poboljšavanje ISMS

Organizacija redovno sprovodi sledeće:
a) Implementaciju identifikovanih poboljšanja u ISMS.
y) Primenjuje korektivne i preventivne mera, u skladu sa 9.2 i 9.3 i koristi
sopstvena i tuđa iskustava iz zaštite.
z) Sa nivoom detalja koji odgovara datoj situaciji, obaveštava zainteresovane
strane o preduzetim merama i poboljšanjima, ako je relevantno, dogovara
se o daljim akcijama.
aa) Obezbeđuje da poboljšanja ispune svoje ciljeve.
5.3. Zahtevi dokumentacije

5.3.1. Opšte
Dokumentacija:
 uključuje zapise odluka menadžmenta;
 prati odluke i politike menadžmenta; i
 obezbeđuje da zapisi rezultata budu ponovljivi.
Važno je moći demonstrirati veze implementiranih kontrola sa rezultatima procesa
procene i obrade rizika i sa ISMS politikom i ciljevima.
ISMS dokumentacija uključuje:
a) dokumentovane izjave ISMS politike (videti 4.2.1b) i bezbednosne ciljeve;
bb) područje primene ISMS (videti 4.2.1a);
cc) procedure i kontrole za podršku ISMS;
dd) opis metodologije procene rizika (videti 4.2.1c);
ee) izveštaj procene rizika (videti 4.2.1c) do 4.2.1g);
ff) plan tretiranja rizika (videti 4.2.2k);
gg) dokumentovane procedure neophodne za efektivno planiranje, primenu i
kontrolu procesa zaštite informacija i za opisivanja metrike efektivnosti
kontrola (videti 4.2.3s);
hh) zapise koje zahteva ovaj Međunarodni Standard (videti 5.3.3); i
ii) izjavu o primenjivosti (SOA).
Napomena 1 – Termin “dokumentovana procedura” podrazumeva da je procedura
uspostavljena, dokumentovana, implementirana i održavana.
Napomena 2 – Obim ISMS dokumentacije može da se razlikuje od organizacije do
organizacije, u zavisnosti od:
 veličine i vrste aktivnosti organizacije; i
 oblasti primene i kompleksnosti bezbednosnih zahteva i upravljanog
sistema.
13
Napomena 3 – Dokumenta i zapisi mogu biti u bilo kojoj formi i na bilo kojem
medijumu.
5.3.2. Kontrola dokumentacije

ISMS dokumentacija mora biti zaštićena i kontrolisana. Dokumentovane procedure
se uspostavljaju da definišu menadžerske akcije:
a) odobravanja adekvatnosti dokumenata pred publikaciju;
jj) ponovnog odobravanja dokumentacije nakon revizije i ažuriranja;
kk) obezbeđivanja da izmene i trenutni status revizije dokumenata budu
identifikovani;
ll) obezbeđivanja da relevantne verzije dokumenata budu dostupne tamo gde
se primenjuju;
mm) obezbeđivanja da dokumenta ostanu razumljiva i pregledna;
nn) obezbeđivanja raspoloživosti dokumentacije onima kojima je potrebna, da
bude preneta, uskladištena i raspoređena u skladu sa procedurama
primenjivim na njihovu klasifikaciju;
oo) obezbeđivanja da dokumenta eksternog porekla budu identifikovana;
pp) obezbeđivanja da distribucija dokumenata bude kontrolisana;
qq) sprečavanja nenamernog korišćenja starih verzija dokumenata; i
rr) dodeljivanja odgovarajuće identifikacije starim verzijama dokumenata, koja
su iz nekog razloga zadržana.
5.3.3. Kontrola zapisa

Zapisi se uspostavljaju i održavaju da obezbede potvrdu usklađenosti sa zahtevima i
efektivnim radom ISMS.
Zapisi moraju biti zaštićeni i kontrolisani.
ISMS uključuje sve relevantne zakonske zahteve, propise i ugovorne obaveze.
Zapisi moraju biti čitljivi, sa jednostavnim identifikatorima i pristupom.
Moraju biti dokumentovane i implementirane kontrole:
 identifikovanja;
 skladištenja;
 zaštite;
 korišćenja;
 pristupa;
 perioda zadržavanja; i
 raspoređivanja zapisa.
Zapisi se vode za sve procese iz poglavlja 5.2 i za svaki događaj značajnijeg
bezbednosnog incidenta koji se odnosi na ISMS.
14
PRIMER – Primeri zapisa mogu biti knjige gostiju, izveštaji rezultata audita i
popunjeni formulari kontrole pristupa (autorizacione matrice).
6. Odgovornosti menadžmenta
6.1. Angažovanje menadžmenta

Menadžment obezbeđuje dokaze o svom angažovanju za uspostavljanje,
implementaciju, primenu, monitoring, reviziju, održavanje i poboljšavanje ISMS putem:
a) formiranja ISMS politike;
ss) obezbeđivanja da su ISMS ciljevi i planovi uspostavljeni;
tt) delegiranja uloga i odgovornosti u sisemu zaštite informacija;
uu) saopštenja o značaju dostizanja bezbednosnih ciljeva i usaglašavanja sa
politikom zaštite informacija, zakonskih odgovornosti i o potrebi za
neprekidnim poboljšavanjem sistema zaštite;
vv) obezbeđivanja resursa za uspostavljanje, implementaciju, primenu,
monitoring, reviziju, održavanje i poboljšavanje ISMS (videti 6.2.1);
ww) odlučivanja o kriterijumima za prihvatanje rizika i o prihvatljivim nivoima
rizika;
xx) potvrde da je interna ISMS kontrola sprovedena (videti 7); i
yy) sprovođenja menadžerskih revizija ISMS (videti 8).
6.2. Upravljanje resursima

6.2.1. Obezbeđenje resursa
Organizacija obezbeđuje resurse neophodne za:
a) uspostavljanje, implementaciju, primenu, monitoring, reviziju, održavanje i
poboljšavanje ISMS;
zz) osiguravanje da procedure zaštite informacija podržavaju poslovne zahteve;
aaa) identifikovanje i upućivanje na zakonske zahteve, propise i ugovorne
obaveze;
bbb) održavanje adekvatne zaštite korektno implementiranim kontrolama;
ccc) sprovođenje neophodnih revizija i adekvatno reagovanje na rezultate ovih
revizija; i
ddd) zahtevano poboljšavanje efektivnosti ISMS.
6.2.2. Obuka, svest i stručnost

Organizacija obezbeđuuje da osoblje koje ima definisane odgovornosti u ISMS bude
kompetentno za izvršavanje zadataka pomoću:
a) utvrđivanja neophodne stručnosti osoblja čiji rad utiče na ISMS;
15
eee) obezbeđivanja obuke ili preduzimanjem sličnih akcija (na primer,

zapošljavanjem kompetentnog osoblja);
fff) evaluacije efektivnosti preduzetih akcija; i
ggg) održavanja zapisa o edukaciji, obuci, veštinama, iskustvu i kvalifikacijama
(videti 5.3.3).
Takođe, organizacija obezbeđuje da relevantno osoblje bude svesno relevantnosti i
značaja svoje uloge u sistemu zaštite informacija i da razume svoj doprinos u ostvarivanju
ISMS ciljeva.
7. Interni auditi ISMS sistema

Organizacija sprovodi audit svog ISMS u planiranim intervalima, radi potvrde da
ciljevi kontrola, kontrole, procesi i procedure ISMS:
a) odgovaraju zahtevima ovog Standarda i relevantnih zakona i propisa;
hhh) odgovaraju identifikovanim bezbednosnim zahtevima zaštite informacija
organizacije;
iii) budu efektivno implementirani i održavani; i
jjj) izvršavaju u skladu sa očekivanjima.
Audit je planiran program koji uključuje razmatranja statusa i značaja procesa i
oblasti koje treba proveriti, kao i rezultate prethodnih provera.
Audit ima definisane:
 kriterijume;
 obim;
 periodičnost sprovođenja; i
 metode.
Izbor nepristrasnih auditora obezbeđuje da proces provere bude objektivan. Auditor
ne sprovodi provere sopstvenog posla.
Dokumentovana procedura definiše udgovornosti i zahteve za;
 planiranje i sprovođenje audita;
 izveštavanje o rezultatima audita; i
 održavanje rezultata audita (videti 5.3.3).
Menadžment proveravanog odeljenja preduzima akcije za eliminisanje otkrivenih
neusaglašenosti i njihovih uzroka. Dodatne aktivnosti uključuju verifikaciju preduzetih
akcija i izveštaje rezultata verifikacije (videti 9).
Napomena: ISO 19011:2002, Uputstvo za audit sistema upravljanja kvalitetom i/ili
okruženjem, sadrži korisno uputstvo za sprovođenje internih audita ISMS.
16
8. Menadžerska revizija ISMS
8.1. Opšte
Menadžment sprovodi reviziju ISMS u planiranim intervalima (najmanje jednom
godišnje), što obezbeđuje njegovu neprekidnu usklađenost, adekvatnost i efektivnost.
Ove revizije sadrže procenjene mogućnosti za poboljšavanje i potrebe za izmenama na
ISMS, uključujući izmene na bezbednosnim ciljevima i politici zaštite informacija. Rezultat
revizije jasno se dokumentuje, a zapisi se održavaju u skladu sa odredbom 5.3.3.
8.2. Ulazi revizije

Ulazi u proces menadžerske revizije uključuju:
a) rezultate audita i revizija ISMS;
kkk) reakciju zainteresovanih strana;
lll) tehnike, proizvode ili procedure, koje organizacija koristi za poboljšanje rada
i efektivnosti ISMS;
mmm)status preventivnih i korektivnih akcija;
nnn) neadekvatno referencirane ranjivosti ili pretnje u prethodnoj proceni
rizika;
ooo) rezultate merenja efektivnosti;
ppp) dodatne akcije prethodnih menadžerskih revizija;
qqq) sve izmene koje mogu uticati na ISMS; i
rrr) preporuke za poboljšavanje.
8.3. Izlazi revizije

Izlazi procesa menadžerske revizije uključuju sve diskusije i aktivnosti vezane za:
a) Poboljšanje efektivnosti ISMS.
sss)Ažuriranje procene rizika i plana obrade rizika.
ttt) Modifikaciju procedura i kontrola koje utiču na bezbednost informacija,
ukoliko je neophodno, reagovanje na interne ili eksterne događaje koji mogu
uticati na ISMS, uključujući izmene:
1) poslovnih zahteva;
2) bezbednosnih zahteva;
3) poslovnih procesa koji utiču na postojeće poslovne zahteve;
4) zakonskih zahteva i regulativa;
5) ugovornih obaveza; i
6) nivoa rizika i/ili kriterijuma za prihvatanje rizika.
uuu) Potrebe za resursima.
17
vvv) Poboljšanje metrike efektivnosti kontrola.
9. Poboljšavanje ISMS
9.1. Kontinualno poboljšavanje

Organizacija kontinualno poboljšava efektivnost ISMS pomoću:
 politike zaštite informacija,
 bezbednosnih ciljeva;
 rezultata audita;
 analize monitorisanih događaja;
 korektivnih i preventivnih akcija; i
 menadžerskih revizija (videti 8).
9.2. Korektivne akcije

Organizacija preduzima akcije za eliminisanje uzroka neusaglašenosti sa ISMS
zahtevima, čime predupređuje njihovo ponavljanje. Dokumentovana procedura za
korektivne akcije definišu zahteve za:
a) identifikovanje neusaglašenosti;
www) utvrđivanje uzroka neusaglašenosti;
xxx) evaluiranje potreba za akcijama sprečavanja ponovne pojave
neusaglašenosti;
yyy) određivanje i implementacija neophodnih korektivnih akcija;
zzz)zapisivanje rezultata preduzetih akcija (videti 5.3.3); i
aaaa) revidiranje preduzetih korektivnih akcija.
9.3. Preventivne akcije

Organizacija određuje akcije za eliminisanje potencijalnih uzroka neusaglašenosti sa
ISMS zahtevima, čime predupređuje njihovu pojavu. Preduzete preventivne akcije
odgovaraju uticaju potencijalnih problema. Dokumentovana procedura za preventivne
akcije definišu zahteve za:
a) identifikovanje potencijalnih neusaglašenosti i njihovih uzroka;
bbbb) evaluaciju potrebe za preventivnim akcijama sprečavanja pojave
neusaglašenosti;
cccc) određivanje i implementacija neophodnih prevetivnih akcija;
dddd) zapisivanje rezultata preduzetih akcija (videti 5.3.3); i
eeee) revidiranje preduzetih preventivnih akcija.
18
Organizacija će identifikovati promenjene nivoe rizika i identifikovaće zahteve

preventivnih akcija koje najviše utiču na promenu rizika.
Prioritet preventivnih akcija biće određen na osnovu rezultata procene rizika.
Napomena – Preventivna akcija često je jeftinija od korektivne.
19
Annex A
(normativno)
Ciljevi kontrola i kontrole
Ciljevi kontrola i kontrole iz tabele A.1 direktno su izvedeni iz klauzula 5-15 Standarda
ISO/IEC 17799:2005. Pored navedenih kontrola, organizacija može da dodatne ciljeve
kontrola i kontrole koje je implementirala u svom sistemu zaštite. Ciljevi kontrola i
kontrole odabiraju se u ISMS procesu 5.2.1. Klauzule 5-15 Standarda ISO/IEC 17799:2005
navode preporuke i uputstva najboljih praksi za implementaciju kontrola datih u tabeli
A.1.
Tabela A.1 – Ciljevi kontrola i kontrole
A.5 POLITIKA ZAŠTITE

CILJ: Da menadžment usmerava i podrži zaštitu informacija u skladu sa
A.5.1 Politika zaštite informacija
poslovnim zahtevima i odgovarajućim zakonima i regulativama.
Dokument politike zaštite informacija mora da odobri menadžment i da bude publikovan
A.5.1.1 Dokument politike zaštite informacija
tako da se s njim upoznaju svi zaposleni i relevantni spoljni saradnici.
Politiku zaštite informacija treba revidirati u planiranim intervalima, ili nakon značajnih
A.5.1.2 Revizija dokumenta politike zaštite informacija promena, u cilju obezbeđenja kontinuiteta njene usklađenosti, adekvatnosti i
efektivnosti.
A.6 ORGANIZACIJA ZAŠTITE INFORMACIJA
A.6.1 Interna organizacija CILJ: Upravljati zaštitom informacija unutar organizacije.
Menadžment treba aktivno da podržava zaštitu unutar organizacije kroz jasne smernice,
A.6.1.1 Angažovanje menadžmenta u zaštiti informacija demonstraciju privrženosti, eksplicitno dodeljivanje i potvrđivanje odgovornosti u zaštiti
informacija.
Aktivnostima zaštite informacija treba da koordinišu predstavnici iz raznih delova
A.6.1.2 Koordinisanje zaštitom informacija
organizacije, koji imaju odgovarajuće uloge i poslovne funkcije.
A.6.1.3 Dodeljivanje odgovornosti u zaštiti informacija Sve odgovornosti u zaštiti informacija treba da su jasno definisane.
Autorizacioni proces na sredstvima za obradu Proces upravljanja autorizacijom za rukovanje novom opremom za obradu informacija
A.6.1.4
informacija treba biti jasno definisan.
Zahteve sporazuma o poverljivosti ili ugovora o neotkrivanju, koji odražavaju potrebe
A.6.1.5 Sporazumi o poverljivosti
organizacije za zaštitom informacija, treba identifikovati i redovno preispitivati.
A.6.1.6 Kontakt s nadležnim telima Potrebno je održavati odgovarajuće kontakte sa nadležnim ovlašćenim telima.
Treba održavati odgovarajuće kontakte sa posebnim interesnim grupama ili drugim
A.6.1.7 Kontakti s posebnim interesnim grupama
specijalističkim forumima i profesionalnim udruženjima iz domena bezbednosti.
Pristup organizacije upravljanju i implementaciji zaštite informacija (na primer, pristup
ciljevima kontrola, kontrolama, politikama, procesima i procedurama zaštite informacija)
A.6.1.8 Nezavisne revizije zaštite informacija
treba nezavisno revidirai u planiranim intervalima, ili nakon značajnih promena u
implementaciji zaštite.
CILJ: Održavati bezbednost informacija i sredstava za obradu informacija
A.6.2 Spoljne strane
organizacije, kojima pristupaju, procesiraju, ili upravljaju spoljni saradnici.
Kod poslovnih procesa koji uključuju spoljne strane, pre odobravanja pristupa treba
Identifikacija rizika koji se odnose na spoljne
A.6.2.1 identifikovati bezbednosne rizike po informacije i opremu organizacije za obradu
strane
informacija, i implementirati odgovarajuće kontrole.
20
Pre nego što se klijentu odobri pristup informacijama ili imovini organizacije potrebno je
A.6.2.2 Uključivanje bezbednosti u poslove sa klijentima
pripremiti sve identifikovane bezbednosne zahteve.
Ugovori sa trećim stranama koji uključuju pristupanje, procesiranje, razmenu ili
Uključivanje bezbednosti u sporazume sa trećim upravljanje informacijama ili opremom organizacije za procesiranje informacija, ili
A.6.2.3
stranama dodavanje proizvoda ili usluga opremi za procesiranje informacija, treba da obuhvate sve
odgovarajuće bezbednosne zahteve.
A.7 UPRAVLJANJE IMOVINOM
A.7.1 Odgovornost za imovinu CILJ: Uspostaviti i održavati odgovarajuću zaštitu imovine organizacije.
A.7.1.1 Inventar imovine Svu imovinu treba jasno identifikovati, i formirati i održavati inventar svih važnih dobara.
Sve informacije i sva imovina vezana uz opremu za obradu podataka trebala bi biti
A.7.1.2 Vlasništvo imovine
vlasništvo1 naznačenog dela organizacije.
Potrebno je definisati, dokumentovati i primeniti pravila za prihvatljivo korišćenje
A.7.1.3 Prihvatljivo korišćenje imovine
informacija i imovine vezane uz opremu za obradu informacija.
A.7.2 Klasifikacija informacija CILJ: Obezbediti odgovarajuće nivoe zaštite informacija.
Informacije treba klasifikovati prema njihovoj vrednosti, zakonskim zahtevima,
A.7.2.1 Uputstva za klasifikaciju
osetljivosti i kritičnosti za organizaciju.
Za označavanje i postupanje sa informacijama treba razviti i implementirati odgovarajući
A.7.2.2 Označavanje i postupanje sa informacijama
skup procedura, u skladu sa šemom klasifikovanja koju je usvojilo organizacija.
A.8 BEZBEDNOST LJUDSKIH RESURSA
CILJ: Obezbediti da zaposleni, ugovorne i treće strane razumeju svoje
A.8.1 Pre zaposlenja odgovornosti, proveriti njihovu podobnost za posao koji im je namenjen i
minimizirati rizik od krađe, prevare ili zloupotrebe sredstava.
Definisati i dokumentovati bezbednosne uloge i odgovornosti zaposlenih, izvođača
A.8.1.1 Uloge i odgovornosti
radova i korisnika treće strane. u skladu sa politikom zaštite informacija organizacije.
Proveriti biografiju radi verifikovanja svih kiidata za zaposlenje, izvođača radova i
korisnika treće strane, u skladu sa odgovarajućim zakonima, regulativama i etičkim
A.8.1.2 Izbor kandidata
principima, i srazmerno poslovnim zahtevima i sagledanim rizicima klasifikovati
informacije kojima će pristupati.
Kao deo svojih ugovornih obaveza, zaposleni, izvođači radova i korisnici treće strane
A.8.1.3 Uslovi za zapošljavanje treba da se saglase i potpišu ugovor o uslovima svog zapošljavanja, u kojem treba da su
iskazane njihove odgovornosti i odgovornosti organizacije za zaštitu informacija.
CILJ: Obezbediti da svi zaposleni, ugovorne i treće strane imaju: svest o
pretnjama i svojoj ulozi u zaštiti informacija, odgovornosti i obaveze, opremu
A.8.2 Tokom zaposlenja
koja podržava politiku zaštite organizacije tokom njihovog normalnog rada, i
smanjiti rizik ljudske greške.
Menadžment treba da zahteva od zaposlenih, izvođača radova i korisnika treće strane da
A.8.2.1 Odgovornosti menadžmenta primenjuju zaštitu u skladu sa uspostavljenim politikom i procedurama zaštite
organizacije.
Svi zaposleni u organizaciji i, gde je to bitno, izvođači radova i korisnici treće strane, treba
Obrazovanje, obuka i razvoj svesti o potrebi
A.8.2.2 redovno da dobijaju odgovarajuću obuku i obnavljaju znanja o bezbednosnim politikama i
zaštite informacija
procedurama, u skladu sa njihovim poslovnim funkcijiama.
A.8.2.3 Disciplinski postupak Treba da postoji zvaničan disciplinski postupak za zaposlene koji su narušili bezbednost.
CILJ: Obezbediti da svi zaposleni, ugovorne i treće strane, napuštanje
A.8.3 Prekid ili promena zaposlenja
organizacije ili promenu zaposlenja vrše prema propisu.
Odgovornosti po prestanku ili promeni Treba jasno definisati i dodeliti odgovornosti kod prestanka zaposlenja ili promene
A.8.3.1
zaposlenja radnog mesta.
Svi zaposleni, izvođači radova i korisnici treće strane, po prestanku zaposlenja, isteku
A.8.3.2 Vraćanje imovine
ugovora ili sporazuma moraju da vrate svu imovinu organizacije koju poseduju.
1
21
Po prestanku zaposlenja, isteka ugovora ili usklađivanja nakon promena, svim

A.8.3.3 Ukidanje prava pristupa zaposlenima, izvođačima radova i korisnicima treće strane treba ukinuti prava pristupa
informacijama i opremi za obradu informacija.
A.9 FIZIČKA ZAŠTITA I ZAŠTITA RADNOG OKRUŽENJA
CILJ: Onemogućiti neovlašćeni fizički pristup, oštećenja i ometanje u
A.9.1 Obezbeđena područja
prostorijama i informacijama organizacije.
Da bi se zaštitile oblasti koje sadrže informacije i opremu za procesiranje informacija,
A.9.1.1 Granice fizičke zaštite treba koristiti bezbednosne zone razdvajanja (prepreke kao što su zidovi, kapije sa
kontrolom ulaza pomoću kartice, ili prijavnice sa osobljem).
Zaštićena područja treba obezbediti odgovarajućim kontrolama ulaska kako bi se
A.9.1.2 Kontrola fizičkog ulaska
osigurao pristup samo ovlašćenog osoblja.
A.9.1.3 Zaštita kancelarija, prostorija i opreme Projektovati i primeniti fizičku zaštitu kancelarija, prostorija i sredstava.
Projektovati i primeniti fizičku zaštitu od oštećenja usled požara, poplave, zemljotresa,
A.9.1.4 Zaštita od prirodnih i spoljnjih pretnji eksplozije, društvenih nemira i drugih oblika prirodnih ili od strane ljudi prouzrokovanih
katastrofa.
A.9.1.5 Rad u zaštićenim područjima Projektovati i primeniti fizičku zaštitu i uputstva za rad u zaštićenim područjima.
Tačke pristupa kao što su područja za isporuku i utovar, kao i druga mesta gde
A.9.1.6 Područja za javni pristup, isporuku i utovar neovlašćena lica mogu ući u službene prostorije, treba kontrolisati i, ako je moguće,
izdvojiti od opreme za procesiranje informacija kako bi se izbegao neovlašćeni pristup.
CILJ: Onemogućiti gubitke, oštećenja, krađu ili kompromitovanje imovine i
A.9.2 Zaštita opreme
ometanje aktivnosti organizacije.
Opremu treba postaviti ili zaštititi tako da se smanji rizik od pretnji i opasnosti iz
A.9.2.1 Smeštaj i zaštita opreme
okruženja, kao i mogućnost neovlašćenog pristupa.
Oprema treba da bude zaštićena od prekida napajanja i uticaja otkaza drugih sredstava
A.9.2.2 Sredstva za podršku
za podršku.
Naponski i telekomunikacioni kablovi za prenos podataka, ili podršku informacionih
A.9.2.3 Zaštita kablova
servisa, treba da su zaštićeni od prisluškivanja ili oštećenja.
Opremu treba propisno održavati kako bi se obezbedila njena neprekidna raspoloživost
A.9.2.4 Održavanje opreme
i sačuvao integritet.
Primeniti mehanizme zaštite na izmeštenu opremu, imajući u vidu specifične rizike pri
A.9.2.5 Zaštita izmeštene opreme
radu izvan organizacije.
Svi delovi opreme koji sadrže medijume za čuvanje podataka treba da budu provereni,
Bezbedno rashodovanje ili ponovno korišćenje
A.9.2.6 kako bi se osiguralo da svi osetljivi podaci i licencirani softveri budu uklonjeni ili sigurno
opreme
prepisani.
A.9.2.7 Izmeštanje imovine Opremu, informacije ili softver ne treba izmeštati bez prethodnog odobrenja.
A.10 UPRAVLJANJE KOMUNIKACIJAMA I OPERATIVNIM RADOM
CILJ: Obezbediti ispravno i bezbedno funkcionisanje opreme za obradu
A.10.1 Operativne procedure i odgovornosti
informacija.
Operativne procedure treba da su dokumentovane, da se održavaju i da budu
A.10.1.1 Dokumentovane operativne procedure
raspoložive svim korisnicima kojima su potrebne.
A.10.1.2 Upravljanje promenama Kontrolisati promene na sistemimima i sredstvima za obradu podaaka.
Razdvojiti dužnosti i područja odgovornosti u cilju redukovanja mogućnosti neovlašćene
A.10.1.3 Razdvajanje zaduženja
ili slučajne izmene ili zloupotrebe imovine organizacije.
Sredstva za razvoj, ispitivanje i operativni rad treba da budu međusobno razdvojena,
A.10.1.4 Razdvajanje razvojne, testne i operativne opreme
kako bi se smanjili rizici od neovlašćenog pristupa ili promena na operativnom sistemu.
CILJ: Implementirati i održavati odgovarajući nivo zaštite informacija i pružanja
A.10.2 Upravljanje uslugama treće strane
usluga u skladu sa sporazumima o pružanju usluga treće strane.
Osigurati da u ugovoru o pružanju usluga preko treće strane stoji da treća strana u
A.10.2.1 Pružanje usluga operativnom radu primenjuje i održava implementirane kontrole zaštite, definicije i
nivoe pružanja usluga.
Redovno nadgledati i preispitivati usluge, izveštaje i zapise koje obezbeđuje treća strana
A.10.2.2 Monitoring i revizija usluga treće strane
i regularno sprovoditi audit.
22
Upravljati promenama pružanja usluga, uključujući održavanje i unapređivanje

A.10.2.3 Upravljanje promenama usluga treće strane postojećih politika zaštite informacija, procedura i kontrola, uzimajući u obzir kritičnost
poslovnih sistema i procesa koji su uključeni u ponovnu procenu rizika.
A.10.3 Planiranje i prihvatanje sistema CILJ: Minimizirati rizike od otkaza sistema.
Korišćenje resursa treba nadgledati, podešavati i projektovati zahteve za buduće
A.10.3.1 Upravljanje kapacitetom
kapacitete, kako bi se osigurale zahtevane performanse sistema.
Uspostaviti kriterijume za prihvatanje novih informacionih sistema, poboljšanja i novih
A.10.3.2 Prihvatanje sistema verzija, a pre preuzimanja, tokom razvoja, na sistemu sprovesti odgovarajuća
ispitivanja.
A.10.4 Zaštita od malicioznih i mobilnih kodova CILJ: Zaštititi integritet softvera i informacija.
Za zaštitu od malicioznog kôda treba implementirati kontrole za otkrivanje, sprečavanje
A.10.4.1 Kontrole malicioznih kodova
i oporavak i odgovarajuće procedure upozoravanja korisnika.
Tamo gde je korišćenje mobilnog koda dozvoljeno, konfiguracija mora osigurati da
A.10.4.2 Kontrole mobilnih kodova odobreni mobilni kod radi u skladu sa jasno definisanom politikom zaštite, a treba da
bude sprečeno izvršavanje neodobrenog mobilnog koda.
CILJ: Održavati integritet i raspoloživost informacija i opreme za obradu
A.10.5 Rezervne kopije (Back-up)
informacija.
Rezervne kopije informacija i softvera treba regularno sprovoditi i testirati, u skladu sa
A.10.5.1 Rezervne kopije informacija
dogovorenom backup politikom.
A.10.6 Upravljanje zaštitom mreže CILJ: Obezbediti zaštitu informacija u mrežama i infrastrukturi zaštite.
Mrežama treba adekvatno upravljati i kontrolisati ih, kako bi se one zaštitile od pretnji,
A.10.6.1 Kontrole mreže kao i da bi se održala bezbednost sistema i aplikacija koje mrežu koriste, uključujući
informacije u tranzitu.
Identifikovati bezbednosne karakteristike, nivoe servisa i upravljanje zahtevima za
A.10.6.2 Servisi zaštite mreža mrežne servise i uključiti ih u ugovore za servisiranje mreža, bilo da ove servise
obezbeđuje organizacija ili davaoc mrežnih usluga.
CILJ: Onemogućiti neovlašćeno otkrivanje, modifikaciju, uklanjanje ili uništenje
A.10.7 Rukovanje medijumima
imovine, i ometanje poslovanja.
A.10.7.1 Upravljanje prenosivim medijumima Treba da postoje procedure postupanja sa prenosivim medijumima.
Medijume, kada više nisu potrebni, treba rashodovati na siguran i bezbedan način,
A.10.7.2 Rashodovanje medijuma
primenom formalnih procedura.
Uspostaviti procedure za postupanje sa informacijama i njihovo čuvanje, kako bi se one
A.10.7.3 Procedure za postupanje sa informacijama
zaštitile od neovlašćenog otkrivanja ili zloupotreba.
A.10.7.4 Zaštita sistemske dokumentacije Sistemsku dokumentaciju treba zaštititi od neovlašćenog pristupa.
CILJ: Održavati bezbednost informacija i softvera razmenjivanih unutar
A.10.8 Razmena informacija
organizacije i sa spoljnjim entitetima.
Da bi se, tokom korišćenja svih tipova komunikacionih sredstava, razmena informacija
A.10.8.1 Politike i procedure za razmenu informacija
zaštitila, treba uspostaviti zvaničnu politiku, procedure i kontrole za razmenjivanje.
Između organizacija i spoljnih strana treba uspostaviti ugovore o razmeni informacija i
A.10.8.2 Sporazumi o razmeni
softvera.
Medijume koji sadrže informacije treba zaštititi od neovlašćenog pristupa, zloupotrebe,
A.10.8.3 Fizički medijumi u tranzitu
ili oštećenja prilikom transporta izvan fizičkih granica organizacije.
A.10.8.4 Elektronske poruke Informacije uključene u razmenu elektronskih poruka treba odgovarajuće zaštititi.
Razviti i implementirati politike i procedure za zaštitu informacija, koje su u vezi sa
A.10.8.5 Poslovni informacioni sistemi
međusobnim povezivanjem poslovnih informacionih sistema.
A.10.9 Usluge elektronske trgovine CILJ: Obezbediti zaštitu usluga i korišćenja elektronske trgovine.
Informacije u vezi sa elektronskom trgovinom, koje prolaze kroz javne mreže, treba
A.10.9.1 Elektronska trgovina zaštititi od malverzacija, osporavanja ugovora, neautorizovanog otkrivanja i
modifikovanja.
Informacije koje su sadržane u on-line transakcijama treba zaštititi kako bi se sprečio
A.10.9.2 On-line transakcije nekompletan prenos, pogrešno usmeravanje, neovlašćeno menjanje poruka,
neovlašćeno otkrivanje, neovlašćeno kopiranje poruka ili ponovno emitovanje.
23
Integritet informacija koje se stavljaju na raspolaganje na javno dostupnim sistemima

A.10.9.3 Javno dostupne informacije
treba zaštititi kako bi se sprečilo njihovo neovlašćeno modifikovanje.
A.10.10 Monitoring CILJ: Detektovati aktivnosti neovlašćene obrade informacija.
Audit logovi snimaju aktivnosti korisnika i izuzetke, a bezbednosni događaji generišu se i
A.10.10.1 Audit logovi čuvaju u dogovorenom periodu, radi buduće upotrebe za istrage i monitoring kontrole
pristupa.
Treba uspostaviti procedure za monitoringa korišćenja sredstava za obradu informacija,
A.10.10.2 Monitoring korišćenja sistema
a rezultate aktivnosti monitoringa treba redovno revidirati.
Sredstva za logovanje i informacije u logovima moraju biti zaštićeni od slučajnog
A.10.10.3 Zaštita informacija u logovima
menjanja i neautorizovanog pristupa.
A.10.10.4 Logovi administratora i operatera Aktivnosti aministratora i operatera sistema treba da budu logovani.
A.10.10.5 Logovi neispravnosti Neispravnosti moraju biti logovani, analizirani i treba preduzimati odgovarajuće akcije.
Časovnici svih relevantnih sistema za obradu podataka u domenu cele organizacije, ili
A.10.10.6 Sinhronizacija časovnika
domenu zaštite, moraju biti sinhronizovani sa dogovorenim izvorom tačnog vremena.
A.11 KONTROLA PRISTUPA
A.11.1 Poslovni zahtevi za kontrolu pristupa CILJ: Kontrolisati pristup informacijama.
Politika kontrole pristupa treba da je uspostavljena, dokumentovana i redovno
A.11.1.1 Politika kontrole pristupa
revidirana u odnosu na poslovne i bezbednosne zahteve za pristup.
CILJ: Obezbediti pristup autorizovanih korisnika i onemogućiti neautorizovani
A.11.2 Upravljanje korisničkim pristupom
pristup informacionim sistemima.
Treba da postoji formalna procedura za registrovanje i brisanje korisnika iz registra za
A.11.2.1 Registracija korisnika
dodelu i ukidanje prava pristupa svim informacionim sistemima i servisima.
A.11.2.2 Upravljanje privilegijama Dodele i korišćenje privilegija treba da su restriktivne i kontrolisane.
A.11.2.3 Upravljanje korisničkim lozinkama Dodelu lozinki treba kontrolisati kroz formalni proces upravljanja.
Menadžerska revizija prava korisničkog pristupa treba da bude redovan, formalan
A.11.2.4 Revizija prava korisničkog pristupa
proces.
CILJ: Onemogućiti neautorizovan korisnički pristup i kompromitaciju ili krađu
A.11.3 Odgovornosti korisnika
informacija, ili opreme za obradu informacija.
Od korisnika treba zahtevati da se pridržavaju dobrih praksi zaštite lozinki, prilikom
A.11.3.1 Korišćenje lozinke
njihovog izbora i korišćenja.
A.11.3.2 Korisnička oprema bez nadzora Korisnici treba da obezbede odgovarajuću zaštitu opreme koja je bez nadzora.
Za prenosive skladišne medijume i papire treba usvojiti politiku praznog stola, a za
A.11.3.3 Politika praznog stola i ekrana
sredstava koja procesiraju informacije treba usvojiti politiku praznog ekrana.
A.11.4 Kontrola mrežnog pristupa CILJ: Onemogućiti neovlašćen pristup mrežnim servisima.
Korisnici treba da imaju pravo pristupa samo onim servisima za koje su autorizovani da
A.11.4.1 Politika korišćenja mrežnih servisa
ih koriste.
Za kontrolu udaljenog korisničkog pristupa treba koristiti odgovarajuće autentifikacione
A.11.4.2 Autentifikacija udaljenih korisnika
metode.
Automatsko identifikovanje opreme treba smatrati dodatnim sredstvom za
A.11.4.3 Identifikacija mrežnih uređaja
autentifikaciju konekcija sa specifičnih lokacija i opreme.
Sprečavanje udaljene analize i konfiguracije Treba kontrolisati fizički i logički pristup priključcima za daljinsku dijagnostiku i
A.11.4.4
portova konfigurisanje.
U mrežama treba da su razdvojene grupe informacionih servisa, korisnika i
A.11.4.5 Razdvajanje u mrežama
informacionih sistema.
Na deljenim mrežama, naročito onim koje se protežu van granica organizacije,
A.11.4.6 Kontrola mrežne konekcije mogućnosti konektovanja korisnika na mrežu moraju biti ograničene, u skladu sa
politikom kontrole pristupa i zahtevima poslovnih operacija (videti 11.1).
Treba implementirati kontrole rutiranja mreža, radi obezbeđenja da računarske
A.11.4.7 Kontrola rutiranja mreže konekcije i tokovi podataka ne naruše politiku kontrole pristupa poslovnim
operacijama.
A.11.5 Kontrola pristupa operativnom sistemu CILJ: Onemogućiti neautorizovani pristup operativnim sistemima.
24
Pristup operativnim sistemima mora biti kontrolisan bezbednosnim log-on

A.11.5.1 Bezbednosne log-on procedure
procedurama.
Svi korisnici treba da imaju jedinstveni identifikator (korisnički ID) za lične namene i
A.11.5.2 Identifikacija i autentifikacija korisnika treba implementirati odgovarajuće autentifikacione mehanizme za verifikovanje
identiteta korisnika.
Sistemi za upravljanje lozinkama treba da budu interaktivni i da obezbeđuju kvalitetne
A.11.5.3 Sistem upravljanja lozinkama
lozinke.
Korišćenje pomoćnih programa koji mogu zaobići kontrole u sistemu ili aplikaciji, mora
A.11.5.4 Upotreba sistemskih alata (system utility)
biti restriktivno i strogo kontrolisano.
A.11.5.5 Time-out sesije Treba definisati period nakon kojeg se neaktivne sesije isključuju.
Za obezbeđenje dodatne zaštite poslova visokog rizika, uvodi se restrikcija na trajanje
A.11.5.6 Ograničavanje trajanja konekcije
konekcije.
Kontrola pristupa aplikacijama i
A.11.6 CILJ: Onemogućiti neautorizovani pristup informacijama aplikativnih sistema.
informacijama
U skladu sa definisanom politikom kontrole pristupa, za korisnike i osoblje za podršku
A.11.6.1 Restrikcije na pristup informacijama
treba uvesti restrikcije pristupa informacijama i funkcijama aplikativnog sistema.
A.11.6.2 Izolacija osetljivih sistema Osetljivi sistemi treba da su smešteni u posebno (izolovano) računarsko okruženje.
Prenosivi računari i rad sa udaljenosti CILJ: Obezbediti zaštitu informacija prilikom korišćenja prenosivih uređaja i
A.11.7
(Teleworking) rada sa udaljenosti.
Rad i komunikacije sa prenosivim računarskim Treba uspostaviti formalnu politiku i usvojiti odgovarajuće mere zaštite od rizika pri
A.11.7.1
uređajima radu sa prenosivim računarskim uređajima i komunikacionim sredstvima.
Razviti i implementirati politiku, operativne planove i procedure za aktivnosti
A.11.7.2 Rad sa udaljenosti (Teleworking)
teleworking-a.
A.12 AKVIZICIJA, RAZVOJ I ODRŽAVANJE INFORMACIONIH SISTEMA
Bezbednosni zahtevi za informacione
A.12.1 CILJ: Obezbediti da zaštita bude integralni deo informacionih sistema.
sisteme
Izjave poslovnih zahteva za novim informacionim sistemima, ili poboljšavanjima
A.12.1.1 Analiza i specifikacija bezbednosnih zahteva
postojećih, treba da specificiraju zahteve za kontrolama zaštite.
CILJ: Onemogućiti greške, gubitke, neautorizovane modifikacije ili zloupotrebe
A.12.2 Ispravna obrada u aplikacijama
informacija u aplikacijama.
A.12.2.1 Validacija ulaznih podataka Validirati ulazne podatke aplikacija, radi obezbeđenja njihove ispravnosti i usklađenosti.
Za detektovanje korumpiranih informacija nastalih usled procesnih grešaka ili namernih
A.12.2.2 Kontrola interne obrade
delovanja, aplikacije treba da imaju ugrađene mehanizme provere validnosti.
Treba Identifikovati zahteve za obezbeđenje autentičnosti i očuvanja integriteta poruka
A.12.2.3 Integritet poruka
u aplikacijama i odgovarajuće kontrole koje treba implementirati.
Da bi se obezbedilo da obrada uskladištenih podataka bude ispravna i da odgovara
A.12.2.4 Validacija izlaznih podataka
datim okolnostima, treba izvršavati validaciju izlaznih podataka iz aplikacije.
CILJ: Kriptografskim mehanizmima zaštititi poverljivost i autentičnost
A.12.3 Kriptografske kontrole
(integritet) informacija.
A.12.3.1 Politika korišćenja kriptografskih kontrola Treba uspostaviti politiku kriptografskih kontrola zaštite informacija.
Za podršku korišćenju kriptografskih mehanizama organizacijie, treba uspostaviti proces
A.12.3.2 Upravljanje ključevima
upravljanja ključevima.
A.12.4 Zaštita sistemskih fajlova CILJ: Obezbediti zaštitu sistemskih fajlova.
A.12.4.1 Kontrola operativnog softvera Treba da postoje procedure za kontrolu instaliranja softvera na operativne sisteme.
A.12.4.2 Zaštita podataka za testiranje sistema Testne podatke treba pažljivo odabrati, čuvati i kontrolisati.
A.12.4.3 Kontrola pristupa izvornim programskim kodovima Pristup izvornim programskim kodovima treba da bude restriktivan.
A.12.5 Zaštita procesa razvoja i podrške CILJ: Održavati zaštitu softvera i informacija aplikativnog sistema.
Implementacija promena treba biti kontrolisana primenom formalnih procedura za
A.12.5.1 Procedure za kontrolu promena
kontrolu promena.
Tehničke revizije aplikacija nakon izmena na Nakon izmene na operativnim sistemima, kritične poslovne aplikacije treba revidirati i
A.12.5.2
operativnom sistemu testirati, da bi se potvrdilo da nema nepovoljnih uticaja rad ili bezbednost organizacije.
25
Modifikacije na softverskim paketima treba izbegavati, ograničiti na neophodne, a sve

A.12.5.3 Restrikcije na izmene softverskih paketa
izmene treba da budu strogo kontrolisane.
A.12.5.4 Curenje informacija Preduprediti sve mogućnosti za curenje informacija.
A.12.5.5 Razvoj softvera van organizacije (outsourcing) Organizacija treba da kontroliše i nadgleda spoljašnje usluge razvoja softvera.
A.12.6 Upravljanje tehničkom ranjivošću CILJ: Redukovati rizike uticaja eksploatacije publikovanih tehničkih ranjivosti.
Informacije o tehničkim ranjivostima korišćenih informacionih sistema treba da budu
A.12.6.1 Kontrola tehničkih ranjivosti aktuelne, izloženost organizacije takvim ranjivostima treba evaluirati i primeniti
odgovarajuće kontrole odnosnog rizika.
A.13 UPRAVLJANJE BEZBEDNOSNIM INCIDENTOM
Izveštavanje o bezbednosnim događajima i CILJ: Prijavljivati bezbednosne događaje i slabosti, na način koji obezbeđuje
A.13.1
slabostima pravovremeno reagovanje korektivnim akcijama.
Bezbednosne događaje treba brzo prijavljivati putem odgovarajućih upravljačkih
A.13.1.1 Prijavljivanje bezbednosnih događaja
kanala.
Od svih zaposlenih, ugovornih i trećih strana koji koriste informacione sisteme i servise,
A.13.1.2 Prijavljivanje bezbednosnih slabosti treba zahtevati da beleže i prijavljuju uočene ili sumnjive slabosti zaštite sistema ili
servisa.
Upravljanje bezbednosnim incidentima i CILJ: Obezbediti konzistentan i efektivan pristup upravljanju bezbednosnim
A.13.2
poboljšanje incidentima.
Uspostaviti procedure i odgovornosti menadžmenta, kako bi se obezbedilo brzo,
A.13.2.1 Odgovornosti i procedure
efektivno i uređeno reagovanje na bezbednosne incidente.
Treba uspostaviti mehanizme za monitoring i kvantifikovanje tipova, jačine i cene
A.13.2.2 Učenje na bezbednosnim incidentima
bezbednosnih incidenata.
Kada posle nekog bezbednosnog incidenta, protiv fizičkog lica ili organizacije usledi
pravno gonjenje (prekršajno ili krivično), potrebno je imati prikupljene i sačuvane
A.13.2.3 Prikupljanje dokaza
dokaze, koji se podnose nadležnom organu u skladu sa pravilima dokazivanja koje
definiše odgovarajući zakon ili sudstvo.
A.14 UPRAVLJANJE KONTINUITETOM POSLOVALJA
CILJ: Preduprediti zastoj poslovnih aktivnosti, zaštititi kritične poslovne procese
Bezbednosni aspekti upravljanja
A.14.1 od uticaja vanrednih događaja ili prirodnih katastrofa i omogućiti nastavak
kontinuitetom poslovanja
poslovanja..
Uspostaviti upravljiv i održavan proces kontinuiteta poslovanja, koji obuhvata celu
Uključivanje zaštite informacija u proces
A.14.1.1 organizaciju i bezbednosne zahteve za zaštitu informacija neophodnih za nastavak
upravljanja kontinuitetom poslovanja
poslovanja organizacije.
Identifikovati događaje koji mogu izazvati prekid poslovnih procesa, verovatnoću
A.14.1.2 Procena kontinuiteta poslovanja i rizika
pojave, uticaj i posledice po bezbednost informacija.
Razviti i implementirati planove za održavanje ili ponovno uspostavljanje operacija
Razvoj i implementacija planova kontinuiteta (restore), obezbediti da raspoloživost informacija bude na zahtevanom nivou i vremenu
A.14.1.3
poslovanja koji uključuju zaštitu informacija potrebnom za nastavljanje poslovanja nakon prekida ili otkaza kritičnih poslovnih
procesa.
Održavati jedinstven okvir planova kontinuiteta poslovanja, kako bi se obezbedilo da svi
A.14.1.4 Okvir za planiranje kontinuiteta poslovanja planovi konzistentno odgovaraju bezbednosnim zahtevima i identifikovali prioriteti za
njihovo testiranje i održavanje.
Testiranje, održavanje i ponovna procena planova Da bi se obezbedilo da planovi kontinuiteta poslovanja budu efektivni i ažurni, treba ih
A.14.1.5
kontinuiteta poslovanja redovno testirati i dopunjavati.
A.15 USKLAĐENOST
CILJ: Onemogućiti narušavanje zakonskih i statutarnih propisa, ugovornih
A.15.1 Usklađenost sa zakonskim zahtevima
obaveza i drugih bezbednosnih zahteva.
Sve relevantne zakonske, regulativne i ugovorne zahteve, kao i pristup organizacije
A.15.1.1 Identifikovanje primenjivih zakona zadovoljenju tih zahteva, treba eksplicitno definisati, dokumentovati i održavati
ažurnim za svaki informacioni sistem i organizaciju u celini.
Treba implementirati odgovarajuće procedure koje obezbeđuju usklađenost sa
A.15.1.2 Prava intelektualne svojine zakonskim, regulativnim i ugovornim zahtevima za korišćenje materijala koji može biti
predmet prava intelektualne svojine i zaštićenih softverskih proizvoda i patenata.
26
Važne zapise treba zaštititi od gubljenja, uništenja i falsifikovanja, u skladu

A.15.1.3 Zaštita zapisa organizacije
sastatutarnim, regulativnim, ugovornim i poslovnim zahtevima.
U skladu sa zahtevima relevantnih zakona, regulativa ili ugovornih odredbi, obezbediti
A.15.1.4 Zaštita podataka i privatnosti ličnih informacija
zaštitu podataka i privatnosti ličnih informacija.
Sprečavanje zloupotrebe opreme za obradu Korisnike treba odvraćati od korišćenja sredstava za obradu informacija u neposlovne ili
A.15.1.5
informacija neodobrene namene.
Kriptografske kontrole treba primenjivati u skladu sa svim relevantnim sporazumima,
A.15.1.6 Regulativa za kriptografske kontrole
zakonima i regulativama.
Usklađenost sa tehničkim politikama i CILJ: Obezbediti usklađenost sistema sa politikama zaštite organizacije i
A.15.2
standardima i tehnička usklađenost standardima.
Da bi se održala usklađenost sa politikama i standardima zaštite, rukovodioci treba da
A.15.2.1 Usklađenost sa politikama i standardima zaštite
obezbede ispravno sprovođenje bezbednosnih procedura.
Treba redovno proveravati usklađenost informacionih sistema sa standardima
A.15.2.2 Provera tehničke usklađenosti
implementacije zaštite.
CILJ: Povećati efikasnost procesa audita i smanjiti međusobne uticaje audita i
A.15.3 Razmatranja audita informacionih sistema
Da bi se minimizirao rizik od ometanja poslovnih procesa, zahtevi audita i prateće
A.15.3.1 Kontrole audita informacionih sistema
aktivnosti provere operativnih sistema, treba da budu pažljivo isplanirani i odobreni.
Da bi se predupredila svaka mogućnost zloupotrebe ili kompromitacije, alati za audit
A.15.3.2 Zaštita alata za audit informacionih sistema
sistema treba da budu zaštićeni od pristupa.
27
Annex B
(informativno)
OECD principi i ovaj Međunarodni Standard
Principi navedeni u OECD (Organisation for Economic Co-operation i Development)

Guidelines for the Security of Information Systems i Networks primenjuju se na sve
politike i operacione nivoe upravljanja sistemima zaštite informacija i mrežama. Ovaj
Međunarodni Standard korišćenjem PDCA modela i procesa klauzula 5, 6, 7 i 9 nudi okvir
sistema upravljanja zaštitom informacija za implementaciju nekih OECD principa, kao što
je dato u Tabeli B.1.
Tabela B.1 — OECD principi i PDCA model
OECD principi Corresponding ISMS process i PDCA phase
Svest – Učesnici treba da su svesni potrebe za zaštitom
informacionih sistema i mreža, kao i sopstvenog angažovanja Ova aktivnost je deo faze Do (videti 5.2.2 i 6.2.2).
za poboljšavanje zaštite.
Odgovornost – Svi učesnici su odgovorni za bezbednost
informacionih sistema i mreža. Ova aktivnost je deo faze Do (videti 5.2.2 i 6.1).
Reagovanje je deo aktivnosti monitoringa faze Check (videti 5.2.3 i 7

Reagovanje – Učesnici pravovremeno reaguju i sarađuju u
prevenciji, detekciji i reagovanju na bezbednosne incidente. do 8.3) i aktivnosti reagovanja iz faze Act (videti 5.2.4 i 9.1 do
9.3). Takođe, može da se uključi u neke aspekte faza Plan i Check.
Ova aktivnost je deo faze Plan (videti 5.2.1) i a ponovna procena
Procena rizika – Učesnici sprovode procene rizika.
rizika je deo faze Check (videti 5.2.3 i 7 do 8.3).
Nakon kompletiranja procene rizika odabiraju se kontrole za tretiranje
Dizajn i implementacija zaštite – Učesnici ugrađuju zaštitu
rizika, kao deo faze Plan (videti 5.2.1). Potom, faza Do (videti 5.2.2
kao ključni element informacionih sistema i mreža.
i 6.2) pokriva implementaciju i operativno korišćenje tih kontrola.
Upravljanje rizikom je proces koji uključuje prevenciju, detekciju i
Upravljanje zaštitom – Učesnici usvajaju sveobuhvatan
reagovanje na incidente, tekuće održavanje, reviziju i audit. Svi ovi
pristup upravljanju zaštitom.
aspekti sadržani su u fazama Plan, Do, Check i Act.
Ponovna procena – Učesnici sprovode revizije i ponovne Ponovna procena zaštite informacija je deo faze Check (videti 5.2.3 i
procene zaštite informacionih sistema i mreža, kao i 7 do 8.3) gde se sprovode redovne revizije za proveru efektivnosti
odgovarajuće modifikacije politika zaštite, praksi, metrike i sistema upravljanja zaštitom informacija, a poboljšanja zaštite u fazi
procedura. Act (videti 5.2.4 i 9.1 do 9.3).
28
Annex C
(informativno)
Veza između ISO 9001:2000, ISO 14001:2004 i ovog Međunarodnog Standarda
Tabela C.1 prikazuje vezu između ISO 9001:2000, ISO 14001:2004 i ovog
Međunarodnog Standarda.
Table C.1 — Veza između ISO 9001:2000, ISO 14001:2004 i ISO/IEC 27001:2005
ISO/IEC 27001:2005 ISO 9001:2000 ISO 14001:2004
1 Uvod 0 Uvod Uvod
1.1 Opšt 0.1 Opšte
1.2 Procesni pristup 0.2 Procesni pristup
0.3 Veza sa ISO 9004
0.4 Kompatibilnost sa ostalim

1.3 Kompatibilnost sa drugim sistemima upravljanja
upravljačkim sistemima
Error: Reference source not 1 Obim 1 Obim

found Error: Reference source
not found 1.1 Opšte
2.1 Opšte 1.2 Primena
2.2 Primena
3 Normativne reference 2 Normative reference 2 Normative reference
4 Termini i definicije 3 Termini i definicije 3 Termini i definicije
29
ISO/IEC 27001:2005 ISO 9001:2000 ISO 14001:2004
5 Sistem upravljanja zaštitom 4 Sistem upravljanja kvalitetom 4 Zahtevi sistema upravljanja

informacija okruženjem
4.1 Opšti zahtevi
5.1 Opšti zahtevi 4.1 Opšti zahtevi
5.2 Uspostavljanje i upravljanje

ISMS
5.2.1 Uspostavljanje ISMS 4.4 Implemenacija i primena
5.2.2 Implementacija i rad ISMS 8.2.3 Monitoring i merenje procesa
8.2.4 Monitoring i merenje proizvoda 4.5.1 Monitoring i merenje

5.2.3 Monitoring i revizija ISMS
5.2.4 Održavanje i poboljšavanje

ISMS
5.3 Zahtevi dokumentacije 4.2 Zahtevi dokumentacije
5.3.1 Opšte 4.2.1 Opše
4.2.2 Uputstvo za kvalitet
5.3.2 Kontrola dokumentacije 4.2.3 Kontrola dokumentacije 4.4.5 Kontrola dokumentacije
4.2.4 Kontrola zapisa 4.5.4 Kontrola zapisa

5.3.3 Kontrola zapisa
6 Odgovornosti menadžmenta 5 Odgovornosti menadžmenta
6.1 Angažovanje menadžmenta 5.1 Angažovanje menadžmenta
5.2 Fokus na korisnike
5.3 Politika kvaliteta 4.2 Politika okruženja
5.4 Planiranje 4.3 Planiranje
5.5 Odgovornost, nadležnost i

saopštavanje
30
ISO/IEC 27001:2005 ISO 9001:2000 ISO 14001:2004
6.2 Upravljanje resursima 6 Upravljanje resursima
6.2.1 Obezbeđenje resursa 6.1 Obezbeđenje resursa
6.2 Ljudski resursi
6.2.2 Obuka, svest i stručnost 6.2.2 Kompetencija, svest i obuka 4.4.2 Kompetencija, obuka i svest
6.3 Infrastruktura
6.4 Radno okruženje
7 Interni auditi ISMS 8.2.2 Interni audit 4.5.5 Interni audit
8 Menadžerska revizija ISMS 5.6 Menadžerska revizija 4.6 Menadžerska revizija
8.1 Opšte 5.6.1 Opše
8.2 Ulazi revizije 5.6.2 Ulazi revizije
5.6.3 Izlazi revizije

8.3 Izlazi revizije
9 Poboljšavanje ISMS 8.5 Poboljšavanje
9.1 Kontinualno poboljšavanje 8.5.1 Kontinualno poboljšavanje
9.2 Korektivne akcije 8.5.3 Korektivne akcije 4.5.3 Neusaglašenost, korektivne

i preventivne akcije
9.3 Preventivne akcije 8.5.3 Preventivne akcije
31
ISO/IEC 27001:2005 ISO 9001:2000 ISO 14001:2004
Annex A Annex A
Ciljevi kontrola i kontrole Smernice za korišćenje
međunarodnog standarda
Annex B
OECD principi i ovaj Međunarodni
Standard
Annex C Annex A Annex B

Korespodencija između ISO 9001:2000, Veza između ISO 9001:2000 i ISO Veza između ISO 14001:2004 i ISO
ISO 14001:2004 i ovog Međunarodnog 14001:1996 9001:2000
Standarda
32
Bibliografija
Publikacije Standarda
[1] ISO 9001:2000, Quality management systems — Requirements
[2] ISO/IEC 13335-1:2004, Information technology — Security techniques —
Management of information and communications technology security — Part
1: Concepts and models for information and communications technology
security management
[3] ISO/IEC TR 13335-3:1998, Information technology — Guidelines for the
management of IT Security — Part 3: Techniques for the management of IT
security
[4] ISO/IEC TR 13335-4:2000, Information technology — Guidelines for the
management of IT Security — Part 4: Selection of safeguards
[5] ISO 14001:2004, Environmental management systems — Requirements with
guidance for use
[6] ISO/IEC TR 18044:2004, Information technology — Security techniques —
Information security incident management
[7] ISO 19011:2002, Guidelines for quality and/or environmental management
systems auditing
[8] ISO/IEC Guide 62:1996, General requirements for bodies operating
assessment and certification/registration of quality systems
[9] ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for
use in Standards
Ostale publikacije
[1] OECD, Guidelines for the Security of Information Systems and Networks —
Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org
[2] NIST SP 800-30, Risk Management Guide for Information Technology Systems
[3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced
Engineering Study, 1986
33
ISO/IEC 17799:2005
1. Uvod
9.4. Šta je bezbednost informacija?

Informacija je imovina koja je, kao i druga važna poslovna imovina, od suštinskog
značaja za poslovanje organizacije, stoga je potrebno da bude odgovarajuće zaštićena.
Ovo je posebno važno u rastućem međusobno povezanom poslovnom okruženju. Kao
rezultat ove rastuće međusobne povezanosti, informacije su izložene povećanom broju i
velikoj raznolikosti pretnji i ranjivosti (videti takođe OECD smernice za zaštitu
informacionih sisitema i mreža).
Informacije mogu imati razne oblike i forme. One mogu biti odštampane ili ispisane
na papiru, uskladištene u elektronskom obliku, prenesene putem pošte ili elektronskih
sredstava, prikazane na filmovima, ili izgovorene. Bilo koji oblik da informacije imaju, ili
sredstva preko kojih se one zajednički koriste ili na kojima se čuvaju, one uvek treba da
budu odgovarajuće zaštitićene.
Bezbednost informacija predstavlja zaštitu od širokog opsega pretnji kako bi se
osigurao kontinuitet poslovanja, na minimum sveo rizik u poslovanju i na maksimum
povisio prihod od investicija i povoljnih poslovnih prilika.
Bezbednost informacija se postiže implementacijom pogodnog skupa kontrola,
uključujući politike, procese, procedure, organizacione strukture kao i softverske i
hardverske funkcije. Ove kontrole treba uspostaviti, implementirati, nadgledati,
preispitivati i poboljšavati, kada je to neophodno, kako bi se u organizaciji osiguralo
ispunjavanje specifičnih bezbednosnih i poslovnih ciljeva. Ovo treba raditi u sprezi sa
drugim procesima upravljanja poslovanjem.
9.5. Zašto je potrebna bezbednost informacija

Informacije i procesi podrške, sistemi i mreže, predstavljaju važnu poslovnu imovinu.
Definisanje, ostvarivanje, održavanje i poboljšavanje bezbednosti informacija mogu
imati presudni značaj za održanje na granici konkurentnosti, gotovinskih tokova,
isplativosti, pravne usklađenosti i poslovnog ugleda.
Organizacije i njihovi informacioni sistemi i mreže suočavaju se sa pretnjama po
bezbednost iz širokog opsega izvora, uključujući prevare uz korišćenje računara,
špijuniranje, sabotaže, vandalizme, požare ili poplave. Uzroci štete kao što su maliciozni
kod, provaljivanje u računare i napadi odbijanja usluga postali su češći, ambiciozniji i
usavršeniji.
Bezbednost informacija podjednako je važna za poslovanje u javnom i u privatnom
sektoru, kao i za zaštitu kritičnih infrastruktura. U oba sektora, bezbednost informacija
funkcioniše kao mehanizam koji omogućuje npr. da se ostvari elektronska uprava ili
elektronsko poslovanje, a da se izbegnu ili umanje odgovarajući rizici. Međusobno
povezivanje javnih i privatnih mreža i zajedničko korišćenje informacionih resursa otežava

ostvarivanje kontrole pristupa. Trend ka distribuiranom radu računara oslabio je i
efikasnost centralne, specijalističke kontrole.
Mnogi informacioni sistemi nisu projektovani tako da budu sigurni. Bezbednost koja
se može ostvariti tehničkim sredstvima je ograničena, i treba da bude podržana
odgovarajućim upravljanjem i procedurama. Identifikovanje kontrola koje treba postaviti,
zahteva pažljivo planiranje i pažnju do detalja. Za upravljanje sigurnošću informacija, kao
minimum se zahteva učešće svih zaposlenih u organizaciji. To može takođe zahtevati
učešće deoničara, isporučilaca, trećih strana, korisnika ili drugih spoljnih strana. Takođe
mogu biti potrebni specijalistički saveti izvan organizacije.
9.6. Kako uspostaviti zahteve za bezbednost

Suštinsko je da organizacija identifikuje svoje zahteve za sigurnost. Postoje tri glavna
izvora zahteva za sigurnost.
1. Prvi izvor se dobija na osnovu ocenjivanja rizika po organizaciju, uzimajući u
obzir ukupnu poslovnu strategiju i ciljeve organizacije. Kroz ocenjivanje rizika
identifikuju se pretnje po imovinu, vrednuju se ranjivost i verovatnoća
njihovog pojavljivanja i predviđaju se moguće posledice.
2. Drugi izvor čine zakonski, statutarni, regulativni i ugovorni zahtevi koje neka
organizacija, njeni trgovinski partneri, ugovarači i davaoci usluga moraju da
ispune, kao i njihovo socijalno-kulturno okruženje.
3. Treći izvor čini poseban skup principa, ciljeva i poslovnih zahteva za obradu
informacija koje je neka organizacija razvila za podršku svom radu.
9.7. Ocenjivanje rizika po sigurnost

Zahtevi za sigurnost identifikuju se metodičkim ocenjivanjem rizika po sigurnost.
Troškovi kontrola treba da su u ravnoteži sa štetom u poslovanju koja bi mogla nastati kao
rezultat otkaza sigurnosti.
Rezultati ocenjivanja rizika pomoći će u vođenju i utvrđivanju odgovarajuće akcije
menadžmenta i prioritete kod upravljanja rizicima po sigurnost informacija, kao i za
implementaciju kontrola izabranih da bi štitile od tih rizika.
Ocenjivanje rizika potrebno je ponavljati periodično kako bi se obuhvatile izmene
koje bi mogle uticati na rezultate ocenjivanja rizika.
Više informacija u vezi ocenjivanja rizika po sigurnost može se naći u tački 4.1
"Ocenjivanje rizika po sigurnost".
9.8. Odabiranje kontrola

Kada su zahtevi za sigurnost i rizici identifikovani, kao i kada su donete odluke o
postupanju sa rizicima, treba odabrati i implementirati odgovarajuće kontrole kako bi se
osiguralo da se rizici smanje na prihvatljiv nivo. Kontrole se mogu odabrati na osnovu
ovog standarda ili iz drugih skupova kontrola, ili se mogu projektovati nove kontrole kao
odgovarajuće da bi se zadovoljile specifične potrebe. Izbor bezbednosnih kontrola zavisi
2
od odluka same organizacije zasnovanim na kriterijumima za prihvatljivost rizika,
opcijama postupanja sa rizicima, kao i na opštem pristupu upravljanju rizicima koji
organizacija primenjuje, a treba takođe da podleže svim odgovarajućim nacionalnim i
međunarodnim zakonima ili uredbama.
Neke od kontrola iz ovog standarda mogu se kod upravljanja zaštitom informacija
smatrati za vodeće principe upravljanja sigurnošću i kao primenljive u većini organizacija.
One su detaljnije objašnjene u daljem tekstu pod naslovom "Polazna tačka u sigurnositi
informacija".
Više informacija u vezi izbora kontrola i opcija za postupanje sa rizicima mogu se naći
u tački 4.2 "Postupanje sa rizicima po sigurnost".
9.9. Polazna tačka u sigurnosti informacija

Mnoge od kontrola mogu se smatrati kao dobra polazna tačka za implementaciju
sigurnosti informacija. One se zasnivaju bilo na suštinskim pravnim zahtevima ili se
smatraju za ustaljenu praksu u sigurnosti informacija.
Kontrole koje se smatraju suštinskim za neku organizaciju sa zakonske tačke gledišta
obuhvataju, zavisno od primenljivih zakona:
a) zaštitu podataka i tajnost informacija o ličnosti (videti 15.1.4);
b) zaštitu zapisa organizacije (videti 15.1.3);
c) zaštitu prava na intelektualnu svojinu (videti 15.1.2).
Kontrole koje se smatraju uobičajenom praksom u sigurnosti informacija obuhvataju:
a) dokument o politici sigurnosti informacija (videti 5.1.1);
b) raspodelu odgovornosti za sigurnost informacija (videti 6.1.3);
c) upoznavanje, obrazovanje i obuku o sigurnosti informacija (videti 17.2.2);
d) ispravno procesiranje u aplikacijama (videti 12.2);
e) menadžment tehničkom ranjivošću (videti 12.6);
f) upravljanje kontinuitetom poslovanja (videti 14);
g) upravljanje pri incidentima narušavanja sigurnosti i poboljšanjima (videti 13.2).
Ove kontrole se odnose na većinu organizacija i u većini okruženja.
Treba napomenuti da iako su sve kontrole iz ovog standarda važne i treba ih uzeti u
obzir, relevantnost svake kontrole treba utvrditi u svetlu specifičnih rizika sa kojima se
neka organizacija suočava. Otuda, iako se navedeni pristup smatra za dobru polaznu
tačku, on ne može zameniti izbor kontrola zasnovanih na ocenjivanju rizika.
9.10. Kritični faktori uspeha

Iskustvo je pokazalo da su za uspešnu implementaciju sigurnosti informacija unutar
neke organizacije često kritični sledeći činioci:
a) politika sigurnosti informacija, ciljevi i aktivnosti koje odražavaju poslovne ciljeve;
b) pristup i okvir implementacije, održavanja, nadgledanja i unapređivanja sigurnosti

koji je dosledan sa kulturom u organizaciji;
c) vidljiva podrška i obavezivanje na svim nivoima rukovođenja;
d) dobro razumevanje zahteva za sigurnost informacija, ocenjivanje rizika i
upravljanje rizicima;
e) efikasna promocija sigurnosti informacija kod svih rukovodilaca, zaposlenih i
ostalih učesnika, radi adekvatne informisanosti;
f) distribucija smernica politike sigurnosti informacija i standarda svim
rukovodiocima, zaposlenima i ostalim učesnicima;
g) obezbeđenje sredstava za aktivnosti upravljanja sigurnošću informacija;
h) obezbeđivanje odgovarajućeg znanja, obrazovanja i obuke;
i) uspostavljanje efikasnog procesa upravljanja pri incidentima narušavanja sigurnosti
informacija;
j) implementacija sistema merenja11) koji se koristi za vrednovanje učinka u
upravljanju sigurnošću informacija i povratni predlozi za poboljšanje
9.11. Izrada sopstvenih smernica i uputstava

Ova pravila prakse mogu se smatrati polaznom tačkom u razvoju specifičnih
uputstava za neku organizaciju. Ne moraju sve smernice i kontrole iz ovih pravila prakse
biti primenljive. Pored toga, mogu biti potrebne dodatne kontrole koje nisu obuhvaćene
ovim standardom. Prilikom razvoja dokumenata koji sadrže dodatne smernice ili kontrole,
može biti korisno da se gde je to potrebno, uključe uporedne liste poglavlja iz ovog
standarda kako bi se olakšala provera usklađenosti koju sprovode proveravači i poslovni
partneri.
4
Informacione tehnologije – Tehnike zaštite – Praktična
uputstva za upravljanje zaštitom informacija
10. Predmet i područje primene

Ovaj međunarodni standard uspostavlja smernice i opšte principe za započinjanje,
implementaciju, održavanje i poboljšavanje upravljanja sigurnošću informacija u nekoj
organizaciji. Ciljevi koji su opisani u ovom standardu obezbeđuju opšte smernice o
prihvaćenim zajedničkim ciljevima upravljanja sigurnošću informacija.
Ciljevi kontrolisanja i same kontrole iz ovog standarda su namenjeni za
implementaciju kako bi se ispunili zahtevi koji su identifikovani ocenjivanjem rizika. Ovaj
standard može da posluži kao praktično uputstvo za izradu standarda sigurnosti u
organizaciji i efektivnu praksu upravljanja sigurnošću, kao i da pomogne izgradnju
poverenja u aktivnosti među organizacijama.
11. Termini i definicije

Za potrebe ovog dokumenta primenjuju se sledeće definicije.
11.1. Asset (Imovina)

Sve što za određenu organizaciju ima neku vrednost (ISO/IEC 13335-1: 2004).
11.2. Control (Kontrola)

Sredstva za upravljanje rizikom, uključujući politike, procedure, smernice, prakse ili
organizacionu strukturu koja može biti administrativne, tehničke, rukovodne ili zakonske
prirode
NAPOMENA: kontrola se takođe koristi kao sinonim za zaštitu ili protivmeru
11.3. Guideline (Smernica)

Opis koji pojašnjava šta i kako bi trebalo uraditi, da bi se ostvarili ciljevi postavljeni u
politikama (ISO/IEC 13335-1:2004)
11.4. Information processing facilities (Sredstva za procesiranje

informacija)
Svaki sistem za procesiranje informacija, usluga ili infrastruktura, ili fizičke lokacije u
kojima su oni smešteni
11.5. Information security (Sigurnost informacija)

Očuvanje poverljivosti, integriteta (celovitosti) i raspoloživosti informacija; pored
toga, mogu takođe biti obuhvaćene i druge osobine kao što su verodostojnost,
nadležnost, neporecivost i pouzdanost
11.6. Information security event (Događaj u vezi sigurnosti

informacija)
Događaj u vezi sigurnosti informacija predstavlja svaka identifikovana pojava u
sistemu, usluzi ili stanju na mreži koja ukazuje na moguće narušavanje politike sigurnosti
ili na otkaz zaštite, ili situacija koja prethodno nije bila poznata i koja se može odnositi na
sigurnost [ISO/IEC TR 18044:2004]
11.7. Information security incident (Incident narušavanja

sigurnosti informacija)
Incident narušavanja sigurnosti informacija se sastoji od pojedinačnog ili niza
neželjenih ili neočekivanih događaja narušavanja sigurnosti informacija za koje postoje
znatni izgledi da kompromituju poslovne aktivnosti i da zaprete sigurnosti informacija
[ISO/IEC TR 18044:2004]
11.8. Policy (Politika)

Ukupne namere i pravac kako ih je formalno (zvanično) iskazao menadžment
11.9. Risk (Rizik)

Kombinacija verovatnoće nekog događaja i njegovih (negativnih) posledica (ISO
Guide 73:2002).
11.10. Risk analysis (Analiza rizika)

Sistematsko korišćenje informacija da bi se identifikovali izvori i procenio rizik (ISO
Guide 73:2002).
11.11. Risk assessment (Ocenjivanje rizika)

Sveobuhvatni proces analize i vrednovanja rizika (ISO Guide 73:2002).
11.12. Risk evaluation (Evaluacija rizika)

Proces upoređivanja procenjenih rizika u odnosu na kriterijume rizika, kako bi se
odredio značaj tog rizika (ISO Guide 73:2002)
6
11.13. Risk management (Upravljanje rizicima)
Koordinisane aktivnosti usmeravanja i kontrolisanja u nekoj organizaciji u pogledu
rizika
NAPOMENA - Upravljanje rizicima tipično obuhvata ocenjivanje rizika, postupanje sa
rizikom, prihvatanje rizika i komuniciranje o rizicima (ISO Guide 73:2002)
11.14. Risk treatment (Postupanje sa rizicima)

Proces izbora i implementacije mera da bi se rizik modifikovao (ISO Guide 73:2002)
11.15. Third party (Treća strana)

Osoba ili telo koje je priznato da je nezavisno od strana koje su angažovane na
problemu o kojem se radi (ISO Guide 2:1996)
11.16. Threat (Pretnja)

Potencijalni uzrok nekog neželjenog incidenta, koji može dovesti do štete na sistemu
ili u organizaciji (ISO/IEC IS 13335-1:2004)
11.17. Vulnerability (Ranjivost)

Slabost neke imovine ili grupe dobara koju neka pretnja može da iskoristi (ISO/IEC IS
13335-1:2004)
12. Struktura ovog standarda

Ovaj standard sadrži 11 poglavlja o kontrolama vezanim za sigurnost, koja zajedno
sadrže 39 glavnih kategorija sigurnosti i jedno uvodno poglavlje kojim se uvode
ocenjivanje i postupanje sa rizicima.
12.1. Poglavlja
Svako poglavlje sadrži više glavnih kategorija sigurnosti. Navedenih 11 poglavlja
(unutar svakog poglavlja pridruženo je više glavnih kategorija sigurnosti) su:
a) Politika sigurnosti i zaštite (1);
b) Organizovanje sigurnosti informacija (2);
c) Upravljanje imovinom (2);
d) Sigurnost ljudskih resursa (3);
e) Fizička sigurnost i sigurnost okruženja (2)
f) Upravljanje komunikacijama i radom (10);
g) Kontrola pristupa (7);

h) Nabavka, razvoj i održavanje informacionih sistema (6);
i) Upravljanje incidentima narušavanja sigurnosti (2);
j) Upravljanje kontinuitetom poslovanja (1);
k) Usklađenost (3).
NAPOMENA: Redosled poglavlja u ovom standardu ne podrazumeva njihov značaj.
Zavisno od okolnosti, sva poglavlja mogu biti važna i zato svaka organizacija koja
primenjuje ovaj standard treba da identifikuje poglavlja koja treba primeniti, koliko su ona
važna, i njihovu primenu na pojedinačne poslovne procese.
Takođe, sve liste u ovom standardu nisu navedene po redosledu prioriteta, ukoliko
to nije naznačeno.
12.2. Glavne kategorije sigurnosti

Svaka glavna kategorija sigurnosti sadrži:
a) cilj kontrole kojim se ukazuje na ono što treba ostvariti; i
b) jednu ili više kontrola koje se mogu primeniti kako bi se cilj kontrole ostvario.
Opisi kontrola su strukturisani na sledeći način:
Kontrola
Definiše specifičan opis kontrole da bi se ispunio cilj kontrole.
Uputstvo za implementaciju
Obezbeđuje detaljnije informacije za podršku implementacije određene kontrole i
ispunjenja ciljeva te kontrole. Neka od ovih uputstava možda neće biti pogodna u svim
slučajevima tako da će možda biti pogodniji neki drugi načini implementacije te kontrole.
Ostale informacije
Obezbeđuju dalje informacije koje mogu biti uzete u obzir, kao što su npr. pravni
aspekti i pozivanja na druge standarde.
13. Ocenjivanje i postupanje sa rizicima
13.1. Ocenjivanje rizika po sigurnost

Ocenjivanja rizika treba da identifikuju, kvantifikuju i utvrde prioritete prema
kriterijumima za prihvatanje rizika i ciljevima koji odgovaraju organizaciji. Rezultati treba
da usmere i odrede odgovarajuće akcije menadžmenta i prioritete za upravljanje rizicima
po sigurnost informacija, kao i implementaciju izabranih kontrola radi zaštite od ovih
rizika. Možda će biti potrebno da se proces ocenjivanja rizika i izbora kontrola sprovede
više puta kako bi se obuhvatili različiti delovi organizacije ili pojedinačni informacioni
sistemi.
8
Ocenjivanje rizika treba da obuhvati sistematski pristup proceni veličine rizika
(analiza rizika) i proces upoređivanja ocenjenog rizika u odnosu na kriterijume rizika, kako
bi se utvrdio značaj rizika (vrednovanje rizika).
Takođe treba periodično sprovoditi ocenjivanje rizika kako bi se obuhvatile izmene
zahteva za sigurnost i izmene situacije rizika, npr. u imovini, pretnjama, ranjivostima i
uticajima, kao i vrednovanje rizika, kada se dogode znatnije izmene. Ova ocenjivanja rizika
treba preduzimati na metodičan način koji omogućava dobijanje uporedivih i ponovljivih
rezultata.
Ocenjivanje rizika po sigurnost informacija treba da ima jasno definisano područje,
kako bi bilo efektivno i treba da obuhvati veze sa ocenjivanjem rizika u drugim oblastima,
ukoliko je to potrebno.
Područje ocenjivanja rizika može biti cela organizacija, delovi organizacije,
pojedinačni informacioni sistem, specifične komponente sistema, ili usluge gde je to
primenljivo, realno i od pomoći. Primeri metodologije ocenjivanja rizika diskutovani su u
ISO/IEC TR 13335-3 (Smernice za menadžment sigurnošću u IT: Tehnike menadžmenta
sigurnosti u IT).
13.2. Postupanje sa rizicima po sigurnost

Pre razmatranja postupanja sa rizikom, organizacija treba da odluči o kriterijumima
za utvrđivanje da li se rizik može prihvatiti ili ne može. Rizici se mogu prihvatiti ukoliko se,
na primer, oceni da je rizik mali ili da se troškovi postupanja sa rizikom organizaciji ne
isplate. Takve odluke treba da ostanu zapisane.
Za svaki od identifikovanih rizika, posle ocenjivanja rizika potrebno je doneti odluku o
postupanju sa tim rizikom. Mogućnosti za postupanje sa tim rizikom obuhvataju:
a) primenu odgovarajućih kontrola da bi se rizici smanjili;
b) objektivno i svesno prihvatanje rizika, obezbeđujući da oni jasno zadovoljavaju
politiku organizacije i kriterijume za prihvatanje rizika;
c) izbegavanje rizika nedopuštanjem aktivnosti koje bi mogle dovesti do pojave rizika;
d) prebacivanjem pripadajućih rizika na druge strane, npr. osiguravajuća društva ili
isporučioce.
Kod onih rizika za koje je odluka bila primena odgovarajućih kontrola, ove kontrole
treba izabrati i implementirati kako bi se ispunili zahtevi koji su utvrđeni postupkom
ocenjivanja rizika. Kontrole treba da osiguraju da se rizici smanje na prihvatljivi nivo
uzimajući u obzir:
a) zahteve i ograničenja nacionalnog i međunarodnog zakonodavstva i regulative;
b) ciljeve organizacije;
c) zahteve i ograničenja u operativnom radu;
d) troškove implementacije i operativnog rada u vezi sa rizicima koji se umanjuju i
koji preostaju srazmerno zahtevima organizacije i ograničenjima;
e) potrebu za uravnoteženje investicija u implementaciju i operativni rad kontrola
prema šteti koja eventualno može nastati iz otkaza sigurnosti.
Kontrole se mogu odabrati iz ovog standarda ili iz nekih drugih skupova kontrola, ili
se mogu projektovati nove kontrole kako bi se zadovoljile specifične potrebe organizacije.
Neophodno je znati da neke od kontrola ne moraju biti primenljive na svaki informacioni
sistem ili okruženje, i da ne moraju biti ostvarljive na sve organizacije. Kao primer, u
10.1.3 opisano je kako se zaduženja mogu razdvojiti kako bi se sprečile prevare ili greške.
Može se desiti da se u manjim organizacijama ne mogu sva zaduženja razdvojiti i mogu
biti neophodni drugi načini ostvarivanja istih ciljeva kontrolisanja. Kao drugi primer, u
10.10 je opisano kako se korišćenje sistema može nadgledati i prikupljati dokazi. Opisane
kontrole npr. zapisivanje događaja, mogu doći u sukob sa primenljivim zakonodavstvom,
kao što je zaštitra privatnosti klijenata (korisnika) ili na radnom mestu.
Kontrole sigurnosti informacija treba predvideti u fazi projektovanja i specificiranja
sistemskih zahteva. Propust da se to učini može dovesti do dodatnih troškova i manje
efektivnih rešenja, i u najgorem slučaju možda do nemogućnosti da se postigne adekvatna
sigurnost.
Treba imati na umu da ne postoji takav skup kontrola koji može da ostvari potpunu
sigurnost, kao i da treba uvesti dodatne aktivnosti menadžmenta da bi se nadgledale,
vrednovale i poboljšale efikasnost i efektivnost (učinak) bezbednosnih kontrola za
podršku ciljeva organizacije.
14. Politika zaštite
14.1. Politika zaštite informacija

Cilj: Da menadžment usmerava i podrži zaštitu informacija u skladu sa poslovnim
zahtevima i relevantnim zakonima i regulativama.
Menadžment treba da uspostavi jasan pravac politike u skladu sa poslovnim ciljevima
i da prikaže svoju podršku i privrženost sigurnosti informacija, kroz publikovanje i
održavanje politike sigurnosti informacija u celoj organizaciji.
14.1.1. Dokument politike zaštite informacija

Kontrola
Dokument politike zaštite informacija mora da odobri menadžment i da bude
publikovan tako da se s njim upoznaju svi zaposleni i relevantni spoljni saradnici.
U dokumentu politike zaštite informacija treba da se vidi angažovanje menadžmenta
i pristup upravljanju zaštitom informacija organizacije. Dokument politike treba da sadrži
sledeća saopštenja:
b) definicija zaštite informacija, njenih ciljeva, obima i značaja zaštite kao
mehanizma za deljenje informacija (videti Uvod);
c) izjave menadžmenta o namerama, podršci ciljeva i principima zaštite
informacija, u skladu sa poslovnom strategijom i ciljevima;
d) okvir za postavljanje ciljeva kontrola i kontrola, uključujući strukturu procene
rizika i upravljanja rizicima;
10
e) kratko objašnjenje politika zaštite, principa, standarda i zahteva za
usklađenost koji su od posebnog značaja za organizaciju, uključujući:
1) usklađenost sa zakonskim, regulativnim i ugovornim zahtevima;
2) zahteve za edukacijom, obukom i razvojem svesti o potrebi zaštite;
3) upravljanje kontinuitetom poslovanja;
4) konsekvence usled povrede politike zaštite;
ffff)definicija opštih i posebnih odgovornosti za upravljanje zaštitom informacija,
uključujući izveštavanje o incidentima narušavanja zaštite informacija;
gggg) reference na dokumentaciju koja podržava politiku, npr., mnogo detaljnije
politike zaštite i procedure za specifične informacione sisteme ili pravila
zaštite kojih korisnici treba da se pridržavaju.
Ovu politiku zaštite informacija treba distribuirati korisnicima unutar organizacije u
formi koja je relevantna, pristupačna i razumljiva.
Ostale informacije
Politika zaštite informacija može biti deo dokumenta opšte politike. Ako se politika
zaštite informacija distribuira izvan organizacije, treba voditi računa da se ne otkriju
osetljive informacije. Dodatne informacije mogu se naći i u ISO/IEC 13335-1:2004.
14.1.2. Revizija dokumenta politike zaštite informacija

Kontrola
Politiku zaštite informacija treba revidirati u planiranim intervalima, ili nakon
značajnih promena, u cilju obezbeđenja kontinuiteta njene usklađenosti, adekvatnosti i
efektivnosti.
Politika zaštite informacija treba da ima svog vlasnika koji ima delegiranu
menadžersku odgovornost za razvoj, reviziju i evaluaciju politike zaštite. Revizija treba da
uključi procenu mogućnosti za poboljšanje politike zaštite informacija organizacije i
njenog pristupa upravljanju zaštitom informacija u skladu sa promenama okruženja
organizacije, poslovnim okolnostima, zakonskim prilikama, ili tehničkom okruženju.
Revizija politike zaštite informacija treba da uzme u obzir rezultate menadžerskih
revizija. Treba da postoje definisane procedure za menadžerske revizije, uključujući
dinamičke planove revizija.
Ulazni podaci menadžerskih revizija treba da obuhvate sledeće:
a) povratne informacije interesnih strana;
b) rezultate nezavisnih revizija (videti 15.1.8);
c) status preventivnih i korektivnih akcija (videti 15.1.8 i 24.2.1);
d) rezultate prethodnih menadžerskih revizija;
e) performanse procesa i usklađenost sa politikom zaštite informacija;
f) promene koje bi mogle uticati na pristup upravljanju zaštitom informacija
organizacije, uključujući promene u okruženju organizacije, poslovnim
okolnostima, raspoloživosti resursa, ugovornim obavezama, regulativnim i

zakonskim prilikama, ili promenama uslova tehničkog okruženja;
g) trendove u vezi pretnji i ranjivosti;
h) prijavljene bezbednosne incidente (videti 22.1);
i) preporuke relevantnih ovlašćenih tela (videti 15.1.6).
Izlaz menadžerske revizije treba da uključi sve odluke i akcije u vezi sa:
a) poboljšanjem pristupa organizacije upravljanju zaštitom informacija i
njegovih procesa;
b) poboljšanjem ciljeva kontrola i kontrola zaštite;
c) poboljšanjem raspodele resursa i/ili odgovornosti.
Treba održavati zapise menadžerskih rrevizija.
Za revidirane politike treba dobiti odobrenje menadžmenta.
15. Organizacija zaštite informacija
15.1. Interna organizacija

Cilj: Upravljati zaštitom informacija unutar organizacije.
Treba uspostaviti upravljački okvir za iniciranje i kontrolu implementacije sistema
zaštite informacija unutar organizacije.
Menadžment treba da odobri politiku zaštite informacija, dodeli uloge u zaštiti i
koordiniše i revidira implementaciju zaštite informacija u celoj organizaciji.
Ako je neophodno, u organizaciji treba uspostaviti izvor specijalističkih saveta za
zaštitu informacija, koji će biti na raspolaganju unutar cele organizacije. U cilju praćenja
industrijskih trendova, standarda i metoda za procenu, ostvarivanja odgovarajućih veza za
rešavanja bezbednosnim incidentima, potrebno je imati uspostavljene kontakte sa
eksternim grupama ili specijalistima zaštite, uključujući ovlašćena tela i nadležne organe
zaštite informacija. Treba podržavati multidiscliplinarni pristup zaštiti informacija.
15.1.1. Angažovanje menadžmenta u zaštiti informacija

Kontrola
Menadžment treba aktivno da podržava zaštitu unutar organizacije kroz jasne
smernice, demonstraciju privrženosti, eksplicitno dodeljivanje i potvrđivanje odgovornosti
u zaštiti informacija.
Menadžment treba da:
a) obezbedi da ciljevi zaštite informacija budu identifikovani, da ispunjavaju
zahteve organizacije i da budu integrisani u relevantne procese;
b) formuliše, revidira i odobrava politiku zaštite informacija;
12
c) revidira efektivnost implementacije politike zaštite informacija;
d) obezbedi jasan pravac i vidljivu menadžersku podršku inicijativama zaštite;
e) obezbedi resurse potrebne za zaštitu informacija;
f) odobri dodelu specifičnih uloga i odgovornosti u zaštiti informacija kroz celu
organizaciju;
g) inicira planove i programe za održavanje svesti o potrebi zaštite informacija;
h) obezbedi koordinaciju implementacije kontrola zaštite informacija na nivou
cele organizacije (videti 15.1.2).
Menadžment treba da identifikuje potrebe za internim ili eksternim savetima
specijalista zaštite informacija i da revidira i koordiniše dejstva tih saveta u celoj
organizaciji.
Zavisno od veličine organizacije, ovakve odgovornosti može preuzeti nadležni
rukovodni forum ili neko postojeće rukovodno telo, kao što je savet (board) direktora.
Ostale informacije
Dodatne informacija sadržane su u ISO/IEC 13335-1:2004.
15.1.2. Koordinisanje zaštitom informacija

Kontrola
Aktivnostima zaštite informacija treba da koordinišu predstavnici iz raznih delova
organizacije, koji imaju odgovarajuće uloge i poslovne funkcije.
Tipično, koordinacija zaštite informacija treba da uključuje kooperaciju i kolaboraciju
menadžera, korisnika, administratora, projektanata aplikacija, osoblja i auditora zaštite,
kao i stručnjaka iz oblasti kao što su osiguranje, pravna pitanja, ljudski resursi, upravljanje
rizicima u IT. Aktivnost koordinacije treba da:
a) obezbedi izvršavanje aktivnosti zaštite u skladu sa politikom zaštite
informacija;
b) identifikuje način postupanja sa neusaglašenostima;
c) odobrava metodologije i procese zaštite informacija, npr., procenu rizika,
klasifikaciju informacija;
d) identifikuje značajnije izmene u pretnjama, kao i izloženost informacija i
opreme za obradu informacija pretnjama;
e) procenjuje adekvatnost i koordiniše implementacijom kontrola zaštite
informacija;
f) efektivno promoviše edukaciju, obuku i svest o zaštiti informacija na nivou
cele organizacije;
g) evaluira informacije dobijene od sistema monitoringa bezbednosnih
incidenata, i preporučuje odgovarajuće akcije kao odgovor na identifikovane
bezbednosne incidente.
Ako organizacija ne koristi posebnu grupu (cross-functional group), npr., zato što
takva grupa ne odgovara veličini organizacije, tada prethodno opisane aktivnosti treba da
preduzima neko drugo pogodno rukovodno telo ili jedan rukovodilac.
15.1.3. Dodeljivanje odgovornosti u zaštiti informacija

Kontrola
Sve odgovornosti u zaštiti informacija treba da su jasno definisane.
Dodelu odgovornosti za sigurnost informacija treba sprovesti u skladu sa politikom
sigurnosti informacija (videti poglavlje 4). Odgovornosti za zaštitu pojedinačnih dobara
kao i za sprovođenje specifičnih postupaka zaštite treba da su jasno identifikovane. Ovu
odgovornost treba dopuniti, gde je neophodno, detaljnijim uputstvima za specifična
mesta, ili opremu za procesiranje informacija. Treba jasno definisati lokalne odgovornosti
za zaštitu imovine i za sprovođenje specifičnih procesa u vezi sigurnosti, kao što je
planiranjekontinuiteta poslovanja.
Pojedinci sa dodeljenim odgovornostima u vezi sigurnosti mogu svoje zadatke u
pogledu sigurnosti preneti na druge. Oni ipak ostaju odgovorni i treba da obezbede da je
svaki od prenetih zadataka ispravno sproveden.
Treba da su jasno definisane oblasti za koje je svaki od pojedinaca odgovoran;
posebno treba sprovoditi sledeće:
a) za svaki sistem posebno treba identifikovati i jasno definisati imovinu i pripadajuće
sigurnosne procese;
b) za svaku pojedinačnu imovinu ili sigurnosni proces treba dodeliti pojedinačni
odgovorni entitet a detalji oko ovih odgovornosti treba da budu dokumentovani (videti
16.1.2);
c) nivoi ovlašćenja treba da budu jasno definisani i dokumentovani.
Ostale informacije
Za razvoj i implementaciju sigurnosti i podršku pri identifikaciji kontrola u mnogim
organizacijama imenuje se rukovodilac za sigurnost informacija kako bi on
preuzeosveukupne obaveze i odgovornosti u tom pogledu.
Međutim, odgovornost za obezbeđivanje resursa i uvođenje kontrola često ostaje
narukovodiocima pojedinačno. Uobičajena praksa je da se za svaku pojedinačnu imovinu
imenuje vlasnik koji dalje postaje odgovoran za njenu svakodnevnu zaštitu.
15.1.4. Autorizacioni proces na sredstvima za obradu informacija

Kontrola
Proces upravljanja autorizacijom za rukovanje novom opremom za obradu
informacija treba biti jasno definisan.
Kod procesa autorizovanja u obzir treba uzeti sledeće smernice:
a) za novu opremu treba od menadžmenta korisnika imati odgovarajuću autorizaciju,
kojom se odobravaju njena namena i korišćenje. Autorizaciju treba dobiti i od
rukovodioca odgovornog za održavanje sigurnosti informacionog sistema u lokalnom
okruženju kako bi se osiguralo da budu ispunjeni svi zahtevi i politike sigurnosti;
14
b) kada je potrebno, treba proveriti hardver i softver kako bi se osiguralo da su
onikompatibilni sa ostalim sistemskim komponentama;
c) korišćenje lične ili privatne opreme za procesiranje informacija, npr., kućnih
računara, laptop ili ručnih uređaja za procesiranje poslovnih informacija može da uvede
nove ranjivosti i zato treba identifikovati i implementirati neophodne kontrole.
15.1.5. Sporazumi o poverljivosti

Kontrola
Zahteve sporazuma o poverljivosti ili ugovora o neotkrivanju, koji odražavaju potrebe
organizacije za zaštitom informacija, treba identifikovati i redovno preispitivati.
Sporazumi o poverljivosti ili neotkrivanju odnose se na bezbednosni zahtev čuvanja
poverljivih podataka ukazivanjem na zakonsku odgovornost. Za identifikovanje zahteva za
sporazume o poverljivosti ili neotkrivanju, treba uzeti u obzir sledeće elemente:
hhhh) definicija informacija koje trebaju biti sačuvane (npr., poverljive
informacije);
iiii) očekivano trajanje važnosti sporazuma, uključujući slučajeve u kojima se
zahteva trajno čuvanje poverljivosti;
jjjj) zahtevane akcije po isteku sporazuma;
kkkk) odgovornosti i akcije potpisnika da bi se izbeglo neovlašćeno otkrivanje
informacija (kao što je "treba znati");
llll) vlasništvo nad informacijama, poslovnim tajnama i intelektualnom svojinom,
kao i njihov odnos sa zaštitom poverljivosti informacija;
mmmm) dozvoljeno korišćenje poverljivih informacija, kao i prava
potpisnika da koristi informacije;
nnnn) pravo na audit i aktivnosti monitoringa koje uključuju poverljive
informacije;
oooo) proces za obaveštavanje i izveštavanje o neautorizovanom otkrivanju ili
narušavanjima zaštite poverljivosti informacija;
pppp) uslovi za vraćanje ili uništavanje informacija po isteku sporazuma;
qqqq) očekivane akcije koje treba preduzeti u slučaju kršenja ovog sporazuma.
U zavisnosti od bezbednosnih zahteva organizacije, u sporazume o poverljivosti i
neotkrivanju mogu biti uključeni i drugi elementi.
Sporazumi o poverljivosti i neotkrivanju treba da budu usklađeni sa svim
primenljivim zakonima i regulativama na koje se oni odnose (videti takođe 24.1.1).
Zahtevi za sporazume o poverljivosti i neotkrivanju treba revidrati, kako periodično,
tako i nakon svakih izmena koje utiču na ove zahteve.
Ostale informacije
Sporazumi o poverljivosti ili neotkrivanju štite informacije organizacije i informišu
potpisnike o njihovoj obavezi čuvanja, korišćenja i otkrivanja informacija na odgovoran i
autorizovan način.
U različitim situacijama, organizacija može imati potrebu da koristi različite forme

sporazuma o poverljivosti i neotkrivanju.
15.1.6. Kontakt s nadležnim telima

Kontrola
Potrebno je održavati odgovarajuće kontakte sa nadležnim ovlašćenim telima.
Organizacije treba da imaju uspostavljene procedure koje specificiraju kada i ko
treba dakontaktira sa ovlašćenim telima (npr., za sprovođenje zakona, vatrogasnom
službom, telima ovlašćenim za nadzor) i kako o identifikovanim incidentima narušavanja
sigurnosti treba izveštavati na pravovremeni način ukoliko se posumnja da su
odgovarajući zakoni možda bili prekršeni.
Organizacijama koje su izložene napadima preko mreže Internet, da bi preduzele
akciju protiv izvora napada, mogu biti potrebne spoljne treće strane (npr., neki davalac
Internetusluga ili telekomunikacioni operater).
Ostale informacije
Održavanje takvih kontakata može predstavljati zahtev za podršku upravljanja
incidentima narušavanja sigurnosti informacija (odeljak 13.2) ili procesu planiranja
kontinuiteta poslovanja i postupanja u nepredviđenim situacijama (odeljak 14). Kontakti
sa zakonodavnim telima su takođe korisni da bi se predvidele i izvršile pripreme
zapredstojeće izmene zakona ili regulative, kojih se organizacija mora pridržavati.
Kontaktisa drugim ovlašćenim telima uključuju komunalna preduzeća, hitne službe,
zdravlje i bezbednost, npr., vatrogasnu službu (u vezi sa kontinuitetom
poslovanja),telekomunikacione službe (u vezi preusmeravanja i raspoloživosti vodova),
vodovodom (u vezi opreme za hlađenje uređaja).
15.1.7. Kontakti sa posebnim interesnim grupama

Kontrola
Treba održavati odgovarajuće kontakte sa posebnim interesnim grupama ili drugim
specijalističkim forumima i profesionalnim udruženjima iz domena bezbednosti.
Uputstvo za implementaciju Članstvo u posebnim interesnim grupama ili forumima
treba smatrati sredstvom kojim se:
a) poboljšavaju znanja o najboljoj praksi i održava ažurnnost sa odgovarajućim
informacijama u vezi sigurnosti;
b) osigurava da je razumevanje u okruženju sigurnosti informacija tekuće i
kompletno;
c) primaju pravovremena upozorenja o uzbuni, saveti i popravke u pogledunapada i
ranjivosti;
d) dobija pristup specijalističkim savetima za sigurnost informacija;
e) zajednički koristile i razmenjuju informacije o novim tehnologijama,proizvodima,
pretnjama ili ranjivostima;
16
f) obezbeđuju pogodne tačke za saradnju kada se radi o incidentima narušavanja
sigurnosti (videti takođe 13.2.1).
Ostale informacije
Da bi se unapredila saradnja i koordinacija o problemima sigurnosti, mogu se sklapati
sporazumi o zajedničkom korišćenju informacija. Takvi sporazumi treba da
identifikujuzahteve za zaštitu osetljivih informacija.
15.1.8. Nezavisne revizije zaštite informacija

Kontrola
Pristup organizacije upravljanju i implementaciji zaštite informacija (na primer,
pristup ciljevima kontrola, kontrolama, politikama, procesima i procedurama zaštite
informacija) treba nezavisno revidirai u planiranim intervalima, ili nakon značajnih
promena u implementaciji zaštite.
Nezavisne revizije treba da budu inicirane od strane menadžmenta. Neophodno je da
takve nezavisne revizije osiguraju kontinuitet pogodnosti, adekvatnosti i efektivnosti
pristupa upravljanju zaštitom informacija organizacije. Revizija treba da uključi procenu
mogućnosti za poboljšanje i potrebu za promenama u pristupu zaštite, uključujući ciljeve
politike i kontrola zaštite.
Takve revizije treba da sprovode pojedinci koji su nezavisni od oblasti u kojoj se vrši
revizija, npr., funkcija internog audita, nezavisni rukovodilac ili specijalizovana organizacija
za revizije treće strane. Lica koja sprovode revizije treba da poseduju odgovarajuće
veštine i iskustvo.
Treba voditi zapise o rezultatima nezavisne revizije i podneti izveštaj menadžmentu
koji je tu reviziju inicirao. Ovi zapise treba da budu održavani.
Ako rezultati nezavisne revizije pokažu da pristup i implementacija upravljanja
zašitom informacija organizacije nije eadekvatan, ili nije u skladu sa smernicama za zaštitu
informacija uspostavljenim u dokumentu politika zaštite informacija (videti 14.1.1),
menadžment treba da razmotri korektivne akcije.
Ostale informacije
Oblast, koju menadžment treba redovno da revidira (videti 24.2.1), takođe može biti
nezavisno revidirana. Tehnike revizije mogu uključiti intervju sa menadžmentom, proveru
zapisa ili reviziju dokumenata politike zaštite. ISO 19011:2002, Uputstvo za audit sistema
upravljanja kvalitetom i/ili zaštitom okoline, takođe može biti korisno za sprovođenje
nezavisnih revizija, uključujući uspostavljanje i implementaciju programa revizije. Tačka
24.3 specificira kontrole relevantne za nezavisnu reviziju operativnih informacionih
sistema i korišćenje alata za audit sistema.
15.2. Spoljne strane

Cilj: Održavati bezbednost informacija i sredstava za obradu informacija organizacije,
kojima pristupaju, procesiraju, ili upravljaju spoljne strane.
Uvođenje proizvoda ili usluga spoljnih strana ne bi trebalo da umanji sigurnost
informacija organizacije kao i opreme za procesiranje informacija.
Svako pristupanje spoljnih strana opremi za procesiranje informacija u organizaciji,

kao iprocesiranje i razmena informacija sa spoljnim stranama treba da bude kontrolisano.
Kada postoji poslovna potreba za rad sa spoljnim stranama koje mogu zahtevati
pristup informacijama organizacije i opremi za procesiranje informacija, ili kada se neki
proizvod iliusluga dobijaju od ili obezbeđuju nekoj spoljnoj strani, treba sprovesti
ocenjivanje rizikakako bi se odredile posledice po sigurnost i zahtevi za kontrolisanje.
Kontrole treba da se definišu i usaglase u sporazumu sa spoljnom stranom.
15.2.1. Identifikacija rizika koji se odnose na spoljne strane

Kontrola
Kod poslovnih procesa koji uključuju spoljne strane, pre odobravanja pristupa treba
identifikovati bezbednosne rizike po informacije i opremu za obradu informacija i
implementirati odgovarajuće kontrole.
Kada postoji potreba da se nekoj spoljnoj strani dozvoli pristup opremi za
procesiranjeinformacija ili informacijama organizacije, treba sprovesti ocenjivanje rizika
(videti takođe odeljak 4) kako bi se identifikovali zahtevi za specifične kontrole.
Identifikacija rizika koji se odnosi na pristup spoljne strane treba da uzme u obzir sledeće:
a) opremu za procesiranje informacija za koju spoljna strana traži pristup;
b) tip pristupa koji će spoljna strana imati informacijama i opremi za procesiranje
informacija, npr.:
1) fizički pristup, npr., kancelarijama, prostorijama sa računarima, ormanima sa
fasciklama;
2) logički pristup, npr., bazama podataka u organizaciji, informacionim sistemima;
3) mrežno povezivanje između mreže organizacije i mreže spoljne strane, npr., stalna
veza, daljinski pristup;4) da li je pristup unutar organizacije ili spolja;
c) vrednost i osetljivost informacija koje su obuhvaćene, kao i njihovu kritičnost za
poslovne aktivnosti;
d) kontrole neophodne za zaštitu informacija za koje nije predviđeno da im spoljne
strane pristupaju;
e) osoblje spoljne strane koje je uključeno u rad sa informacijama organizacije;
f) kako se organizacija ili osoblje koje ima ovlašćenje za pristup mogu identifikovati, a
ovlašćenje verifikovati i koliko često to treba da se ponovo potvrdi;
g) različita sredstva i kontrole koja spoljna strana primenjuje prilikom skladištenja,
procesiranja, komuniciranja, zajedničkog korišćenja i razmene informacija;
h) posledice neraspoloživosti pristupa spoljnoj strani kada ga ona zahteva, kao i
unošenje ili prijem netačnih ili obmanjujućih informacija od spoljne strane;
i) praksu i procedure za postupanje u slučaju incidenata narušavanja sigurnosti
informacija i potencijalnim oštećenjima, kao i ograničenja i uslovi nastavljanjapristupa
spoljne strane u slučaju incidenta narušavanja sigurnosti informacija;
18
j) zakonski i regulativni zahtevi, kao i druge ugovorne obaveze koje se odnose na
spoljnu stranu i koje treba uzeti u obzir;
k) kakav uticaj mogu imati sporazumi na interese bilo kojih drugih deoničara.
Pristup spoljnih strana informacijama organizacije ne treba pružiti pre nego što
seimplementiraju odgovarajuće kontrole i dok se, gde je izvodljivo, ne potpiše ugovor
kojim se definišu ograničenja i uslovi za povezivanje ili pristup, kao i uslovi rada. U opštem
slučaju,svi zahtevi za sigurnost koji su rezultat rada sa spoljnim stranama ili unutrašnje
kontrole treba da se odraze u sporazumu sa spoljnom stranom (videti takođe 6.2.2 i
6.2.3).
Treba osigurati da je spoljna strana svesna svojih obavezama i da prihvata svoje
odgovornosti i obaveze koje su u vezi sa pristupom, procesiranjem, komuniciranjem
iliupravljanjem informacijama organizacije i opremom za procesiranje informacija.
Ostale informacije
Informacije mogu biti izložene riziku od spoljnih strana sa neadekvatnim
upravljanjemsigurnošću. Treba identifikovati i primeniti kontrole za administriranje
pristupa spoljnestrane opremi za procesiranje informacija. Na primer, ukoliko postoji
posebna potreba za poverljivošću informacija, mogu se primeniti sporazumi o
neotkrivanju informacija.
Organizacije se mogu suočiti sa rizicima kod procesa među organizacijama, kod
upravljanjai komunikacija ukoliko se primeni visok stepen korišćenja spoljnih resursa, ili
kada je uključeno nekoliko spoljnih strana.
Kontrole 6.2.2 i 6.2.3 obuhvataju različite moguće sporazume sa spoljnim stranama,
štonpr., obuhvata:
a) davaoce usluga kao što su ISP (Internet), davaoce mrežnih usluga, telefonskih
usluga, kao i usluga održavanja i podrške;
b) upravljane usluge sigurnosti;
c) korisnike;
d) izmeštanje u spoljne resurse opreme i/ili operacija, npr., IT sistema, usluga
prikupljanja podataka, operacija pozivnog (call) centra;
e) konsultante za poslovanje i upravljanje i proveravače;
f) razvojne projektante i isporučioce, npr., softverskih proizvoda i IT sistema;
g) usluge čišćenja, snabdevanja hranom i druge usluge podrške iz spoljnih resursa;
h) povremeno angažovano osoblje, učenike i studente na praksi, kao i druga
povremena kratkoročna naimenovanja.
Ovakvi sporazumi mogu da pomognu da se smanje rizici u radu sa spoljnim stranama.
15.2.2. Uključivanje bezbednosti u poslove sa klijentima

Kontrola
Pre nego što se klijentu odobri pristup informacijama ili imovini organizacije
potrebno je pripremiti sve identifikovane bezbednosne zahteve.
Pre davanja prava korisničkog pristupa bilo kojoj vrsti imovine organizacije, treba
uzeti u obzir sledeće bezbednosne uslove (zavisno od tipa i stepena datog pristupa, ne
moraju se primeniti svi uslovi):
a) zaštitu imovine, uključujući:
1) procedure za zaštitu imovine organizacije, uključujući informacije,
softver i menadžment poznatim ranjivostima;
2) procedure za utvrđivanje da li je došlo do bilo kakvog
kompromitovanja imovine, npr., gubitka ili modifikacija podataka;
3) integritet;
4) ograničenja u pogledu kopiranja i otkrivanja informacija;
rrrr) opis proizvoda ili servisa koje treba obezbediti;
ssss) različite razloge, zahteve i korist od korisničkog pristupa;
tttt) politiku kontrole pristupa, koja obuhvata:
1) dozvoljene metode pristupa, kao i kontrolu i korišćenje jedinstvenih
identifikatora kao što su korisnički ID i lozinke;
2) autorizacioni proces korisničkog pristupa i privilegije;
3) princip da je svaki pristup zabranjen ako nije eksplicitno autorizovan;
4) proces povlačenja prava pristupa ili prekidanje konekcije među
sistemima;
uuuu) sporazumi o izveštavanju, obaveštavanju i istrazi netačnih informacija
(npr., detalja o ličnosti), bezbednosnim incidentima i narušavanju zaštite
informacija;
vvvv) opis svakog servisa koja treba da bude na raspolaganju;
wwww) ciljni nivo servisa i neprihvatljivi nivoi servisa;
xxxx) pravo da se nadgleda i opozove bilo koja aktivnost u vezi sa imovinom
organizacije;
yyyy) respektivne obaveze organizacije i korisnika;
zzzz) zakonske odgovornosti i način koji obezbeđuje da se takve zahtevi
poštuju, npr., zakon o zaštiti podataka, posebno uzimajući u obzir različite
pravne sisteme kada sporazum obuhvata saradnju sa korisnicima iz drugih
zemalja (videti takođe 24.1);
aaaaa)prava intelektualne svojine (IPR), dodelu prava na kopiranje (videti
24.1.2) i zaštitu od bilo kakvog kolaborativnog rada (videti takođe 15.1.5);
Ostale informacije
Bezbednosni zahtevi koji se odnose na korisnički pristup imovini organizacije, mogu
varirati u zavisnosti od opreme za obradu informacija i samih informacija kojima se
pristupa. Ovi bezbednosni zahtevi mogu se obuhvatiti korisničkim sporazumima, koji
sadrže sve identikovane rizike i bezbednosne zahteve (videti takođe 15.2.1).
Sporazumi sa eksternim stranama takođe mogu da uključuju i druge strane.
Sporazumi o dodeli prava pristupa eksternoj strani treba da obuhvate odobrenje za
imenovanje drugih prihvatljivih strana i uslove za njihov pristup i učešće.
20
15.2.3. Uključivanje bezbednosti u ugovore sa trećim stranama
Kontrola
Ugovori sa trećim stranama koji uključuju pristupanje, procesiranje, razmenu ili
upravljanje informacijama ili opremom organizacije za procesiranje informacija, ili
dodavanje proizvoda ili usluga opremi za procesiranje informacija, treba da obuhvate sve
odgovarajuće bezbednosne zahteve.
Ugovor treba da osigura da ne dođe do nesporazuma između organizacije i treće
strane. Organizacije treba da obezbede garanciju od treće strane.
Da bi se zadovoljili identifikovani bezbednosni zahtevi (videti 6.2.1) koje treba uneti u
sporazumeu, treba uzeti u obzir sledeće stavke:
a) politiku zaštite informacija;
bbbbb) kontrole zaštite imovine, uključujući:
1) procedure za zaštitu imovine organizacije, uključujući informacije,
softver i hardver;
2) sve zahtevane kontrole i mehanizme fizičke zaštite;
3) kontrole zaštite od malicioznih softvera (19.4.1);
4) procedure za utvrđivanje da li postoji kompromitacija imovine, npr.,
da li se desio gubitak ili modifikacija informacija, softvera i hardvera;
5) kontrole koje će osigurati vraćanje ili uništavanje informacija i
imovine po isteku ugovora, ili u nekom određenom trenutku tokom
njegove važnosti;
6) poverljivost, integritet, raspoloživost i bilo koja druga relevantna
osobina (videti 11.15) imovine;
7) restrikcije na kopiranje i otkrivanje informacija, kao i korišćenje
sporazuma o poverljivosti (videti 15.1.5);
ccccc) obuka korisnika i administratora o metodama, procedurama i
bezbednosti;
ddddd) obezbeđenje bezbednosne odgovornosti i svesti korisnika o
potrebi zaštite informacija;
eeeee) gde je ptrebno, uključiti odredbe po pitanju trensfera osoblja;
fffff) odgovornosti koje se odnose na instalacije i održavanje hardvera i
softvera;
ggggg)jasna struktura podnošenja izveštaja i dogovoreni format izveštaja;
hhhhh) jasan i specificiran proces upravljanja promenama;
iiiii) politika kontrole pristupa, koja obuhvata:
1) različite razloge, zahteve i koristi koje pristup treće strane čine
neophodnim;
2) dozvoljene metode pristupa, kao i kontrolu i korišćenje jedinstvenih
identifikatora kao što su korisnički ID i lozinke;
3) autorizacioni proces korisničkog pristupa i privilegije;

4) zahtev za održavanje liste pojedinaca koji su autorizovani za
korišćenje raspoloživih servisa, kao i koja su njihova prava i privilegije
na njihovo korišćenje;
5) princip da je svaki pristup zabranjen ako nije eksplicitno autorizovan;
6) proces povlačenja prava pristupa ili prekidanje konekcije među
sistemima;
jjjjj)sporazumi o izveštavanju, obaveštavanju i istrazi bezbednosnih incidenata i
narušavanja zaštite, kao i povredi ugovornih zahteva;
kkkkk) opis obezbeđenih proizvoda, servisa i informacija koje treba da su na
raspolaganju, zajedno sa njihovom bezbednosnom klasifikacijom (videti
16.2.1);
lllll) ciljni nivo servisa i neprihvatljivi nivoi servisa;
mmmmm) definicija kriterijuma performanisi koji se mogu verifikovati,
njihovog monitoringa i izveštavanja;
nnnnn) pravo da se nadgleda i opozove bilo koja aktivnost u vezi sa
imovinom organizacije;
ooooo) pravo na sprovođenja audita odgovornosti definisanih u ugovoru,
da takvi auditi mogu da se sprovode preko treće strane i navođenje
statutarnih prava auditora;
ppppp) uspostavljanje proširenog procesa za razrešavanje problema;
qqqqq) zahtevi za kontinuitet servisa, uključujući mere za raspoloživost i
pouzdanost, u skladu sa poslovnim prioritetima organizacije;
rrrrr) respektivne obaveze ugovornih strana;
sssss) zakonske odgovornosti i način koji obezbeđuje da se takve zahtevi
poštuju, npr., zakon o zaštiti podataka, posebno uzimajući u obzir različite
pravne sisteme kada sporazum obuhvata saradnju sa korisnicima iz drugih
zemalja (videti takođe 24.1);
ttttt) prava intelektualne svojine (IPR), dodelu prava na kopiranje (videti 24.1.2)
i zaštitu od bilo kakvog kolaborativnog rada (videti takođe 15.1.5);
uuuuu) uključivanje treće strane sa podugovaračima i kontrola zaštite koje
podugovarači treba da implementiraju;
vvvvv) uslovi za vanredno obnavljanje i/ili prekid ugovora:
1) u planu za vanredne događaje treba stoji slučaj da bilo koja od
ugovornih strana može prekinuti saradnju pre isteka ugovora;
2) vanredno obnavljanje ugovora vrši se u slučaju promene
bezbednosnih zahteva organizacije;
3) trenutna dokumentacija popisa imovine, licenci, sporazuma ili prava
koja se na njih odnose.
Ostale informacije
Za različite organizacije i tipove trećih strana mogu se razlikovati i sporazumi. Stoga,
treba obratiti pažnju i uključiti sve identifikovane rizike i bezbednosne zahteve (videti
22
takođe 15.2.1). Gde je neophodno, zahtevane kontrole i procedure mogu biti proširene u
planu upravljanja zaštitom.
Ukoliko je upravljanje zaštitom outsource usluga, sporazumi treba da obuhvate način
na koji će treća strana garantovati adekvatnu bezbednost, održavati u skladu sa
definicijom u procesu procene rizika, kao i kako će se sistem zaštite adaptirati
identifikovanju i postupanju sa promenama rizika.
Neke od razlika između outsourcing-a i drugih načina obezbeđivanja usluga treće
strane uključuju pitanja odgovornosti, planiranja tranzicionog perioda i potencijalnih
prekida operativnog rada tokom tog perioda, sporazume o planiranju vanrednih događaja
i obaveznih revizija plana, kao i kolekcija i upravljanje bezbednosnim incidentima. Prema
tome, važno je da organizacija planira i upravlja tranzicionim periodom outsource
ugovora i da ima uspostavljene odgovarajuće procese za upravljanje promenama i
vanredno obnavljanje i/ili prekidanje ugovora.
U slučaju kada treća strana postane nedostupna da pruži svoju uslugu, u ugovoru
treba predvideti procedure za održavanje kontinuiteta procesiranja, da bi se izbeglo svako
kašnjenje ugovorenih usluga zamene resursa.
Ugovori sa trećim stranama takođe mogu da uključuju i druge strane. Sporazumi o
dodeli prava pristupa trećoj strani treba da obuhvate odobrenje za imenovanje drugih
prihvatljivih strana i uslove za njihov pristup i učešće.
U opštem slučaju, ugovore izrađuje sama organizacija. Mogu postojati situacije kada
ugovor izrađuje i nameće treća strana. Organizacija treba da osigura da u nametnutim
ugovorima nisu navedeni zahtevi treće strane, koji nepotrebno utiču na bezbednost
organizacije.
16. Upravljanje imovinom
16.1. Odgovornost za imovinu

Cilj: Uspostaviti i održavati odgovarajuću zaštitu imovine organizacije. Sva imovina
treba da je popisana i da ima imenovanog vlasnika. Za svu imovinu identifikovati vlasnike i
dodeliti odgovornosti za održavanje odgovarajućih kontrola. Implementacija specifičnih
kontrola može biti delegirana od strane vlasnika, ali vlasnik ostaje odgovoran za
ispravnost zaštite imovine.
16.1.1. Inventar imovine

Kontrola
Svu imovinu treba jasno identifikovati, i formirati i održavati inventar svih važnih
dobara.
Uputstvo za implementacijuju
Organizacija treba da identifikuje svu imovinu i dokumentuje važnost te imovine.
Inventar imovine treba da obuhvati sve informacije koje su neophodne za oporavljanje od
nepogoda, uključujući tip imovine, oblik, lokaciju, informaciju o rezervnim kopijama,
informacije o licencama i poslovnoj vrednosti. Ovaj inventar ne treba obavezno da bude
duplikat drugih inventara, ali treba obezbediti da su sadržaji usklađeni.
Pored toga, vlasništvo (videti 16.1.2) i klasifikacija informacija (videti 16.2) treba da je
dogovorena i dokumentovana za svaku imovinu. Zavisno od značaja imovine, njihove
poslovne vrednosti i bezbednosne klasifikacije, treba identifikovati nivoe zaštite
proporcionalno značaju imovine (više informacija o vrednovanju imovine radi
predstavljanja njenog značaja može se naći u ISO/IEC TR 13335-3).
Ostale informacije
Postoje mnogi tipovi imovine uključujući:
a) informacije:
4) baze podataka i datoteke sa podacima,
5) ugovori i sporazumi,
6) sistemska dokumentacija,
7) informacije o istraživanjima,
8) korisnička uputstva,
9) materijal za obuku,
10) procedure za rad ili podršku,
11) planovi kontinuiteta poslovanja,
12) planovi za povratak u prethodno stanje,
13) tragovi audita i
14) arhivske informacije;
b) softverska imovina:
15) aplikativni softver,
16) sistemski softver,
17) razvojni alati i
18) pomoćni programi (utilities);
c) fizička imovina:
19) računarska oprema,
20) komunikaciona oprema,
21) prenosivi medijumi i
22) ostala oprema;
d) servisi:
23) računarski i komunikacioni,
24) opšte usluge, na primer:
i. grejanje,
ii. osvetljenje,
iii. električno napajanje,
iv. klimatizacija;
24
e) ljudi i njihove:
25) kvalifikacije,
26) veštine i
27) iskustva;
f) nematerijalna imovina, kao što su ugled i reputacija organizacije.
Inventari imovine pomažu da se obezbedi njihova efektivna zaštita, a takođe može
da se zahteva za druge poslovne namene, kao što su bezbednost i zdravlje na radu,
potrebe osiguranja ili finansija (upravljanje imovinom). Proces popisivanja imovine
predstavlja važan preduslov za upravljanje rizikom (videti odeljak 13).
16.1.2. Vlasništvo imovine

Kontrola
Sve informacije i sva imovina vezana uz opremu za obradu podataka trebala bi biti
vlasništvo0 naznačenog dela organizacije.
Vlasnik imovine treba da ima odgovornost za:
a) klasifikovanje informacija i imovine koja je u vezi sa opremom za obradu
informacija;
b) definisanje i periodično revidiranje restrikcije pristupa i klasifikaciju,
uzimajući u obzir primenjive politike kontrole pristupa.
Vlasništvo se može dodeliti za:
a) poslovni proces;
b) definisani skup aktivnosti;
c) aplikaciju; ili
d) definisani skup podataka.
Ostale informacije
Rutinski zadaci mogu biti delegirani, npr., čuvaru koji se svakodnevno brine o imovini,
ali i dalje odgovornost za imovinu ima vlasnik.
U složenim informacionim sistemima može biti korisno da se imenuju grupe imovine,
koje zajedniči obavljaju određenu funkciju kao jedan “servis”. U ovom slučaju vlasnik
servisa je odgovoran za pružanje usluge, kao i za funkcionisanje imovine koja obezbeđuje
tu uslugu.
16.1.3. Prihvatljvo korišćenje imovine

Kontrola
Potrebno je definisati, dokumentovati i primeniti pravila za prihvatljivo korišćenje
informacija i imovine vezane uz opremu za obradu informacija.
0
Svi zaposleni, izvođači radova i korisnici sa treće strane treba da se pridržavaju

pravila prihvatljivog korišćenja informacija i imovine povezanim sa opremom za
procesiranje informacija, uključujući:
a) pravila za elektronsku poštu i korišćenje mreže Internet (videti 10.8);
b) smernice za korišćenje prenosivih uređaja, posebno za njihovo korišćenje
izvanprostorija organizacije (videti 11.7.1);
Izraz "vlasnik" identifikuje nekog pojedinca ili entitet koji ima potvrđenu rukovodnu
odgovornost za kontrolu proizvodnje, razvoja, održavanja, korišćenje i sigurnost dobara.
Izraz "vlasnik" ne znači da ta osoba ima bilo kakva imovinska prava nad tim dobrima.
Specifična pravila ili smernice treba da obezbedi odgovarajući menadžment.
Zaposleni, izvođači radova i korisnici sa treće strane koji koriste ili imaju pristup imovini
organizacijetreba da su svesni postojećih ograničenja kod korišćenja informacija i imovine
organizacije povezanim sa opremom za procesiranje informacija i resursa. Oni treba da su
odgovorni zasopstveno korišćenje bilo kojeg od resursa za procesiranje informacija, kao i
za bilo koje takvo korišćenje koje se sprovodi pod njihovom odgovornošću.
16.2. Klasifikacija informacija

Cilj: Obezbediti odgovarajuće nivoe zaštite informacija.
Informacije treba klasifikovati kako bi se ukazalo na potrebu, prioritete i očekivani
stepen zaštite kada se postupa sa tim informacijama.
Informacije imaju različite stepene osetljivosti i kritičnosti. Neki elementi mogu
zahtevatidodatni stepen zaštite ili posebno postupanje. Da bi se definisao odgovarajući
skup nivoazaštite i sopštila potreba za posebnim merama za postupanje, treba primeniti
šemu za klasifikovanje informacija.
16.2.1. Smernice za klasifikaciju

Kontrola
Informacije treba klasifikovati prema njihovoj vrednosti, zakonskim zahtevima,
osetljivosti i kritičnosti za organizaciju.
Klasifikovanja i pridružene kontrole za zaštitu informacija treba da uzmu u obzir
poslovnepotrebe za zajedničko korišćenje ili ograničavanje informacija, kao i uticaje takvih
potreba na poslovanje.
Smernice za klasifikovanje treba da uključe dogovore o polaznom i ponovnom
klasifikovanju tokom vremena, u skladu sa nekom unapred određenom politikom kontrole
pristupa (videti 20.1.1).
Definisanje klasifikovanosti neke imovine, njeno periodično preispitivanje kao i
osiguranje da je ona ažurna i na odgovarajućem nivou, treba da bude odgovornost
vlasnika te imovine (videti 16.1.2). Klasifikovanje treba da uzme u obzir zbirni efekat
naveden u 19.7.2.
Treba uzeti u obzir više kategorija klasifikovanosti, kao i dobit od njihove primene.
Previše složene šeme mogu da postanu glomazne i neekonomične za primenu ili da se
26
pokažu nepraktičnim. Treba obratiti pažnju na tumačenje oznaka klasifikovanosti na
dokumentima iz drugih organizacija, čije definicije mogu biti različite za isto ili slično
nazvane oznake.
Ostale informacije
Nivo zaštite može se oceniti analizom poverljivosti, integriteta i raspoloživosti, kao i
bilo kojih drugih drugih zahteva za informacije koje se razmatraju.
Informacije često prestaju da budu osetljive ili kritične posle izvesnog vremenskog
perioda,na primer kada se one javno objave. Ove aspekte treba uzeti u obzir, pošto
preterano klasifikovanje može voditi u implementaciju nepotrebnih kontrola što izaziva
posebne izdatke.
Prilikom dodele nivoa klasifikovanosti, zadatak klasifikovanja može se
uprostitizajedničkim razmatranjem dokumenata sa sličnim zahtevima za sigurnost.
U opštem slučaju, klasifikovanje informacija je skraćeni način za utvrđivanje kako sa
takvim informacijama treba postupati i kako ih zaštititi.
16.2.2. Označavanje i postupanje sa informacijama

Kontrola
Za označavanje i postupanje sa informacijama treba razviti i implementirati
odgovarajući skup procedura, u skladu sa šemom klasifikovanja koju je usvojilo
organizacija.
Procedure za označavanje informacija treba da obuhvate informacionu imovinu u
fizičkoj i elektronskoj formi.
Izlazi iz sistema koji sadrže informacije koje su klasifikovane kao osetljive ili kritične
treba da nose (na izlazu) odgovarajuću oznaku klasifikovanosti. Označavanje treba da
odražavaklasifikovanost u skladu sa pravilima uspostavljenim u 16.2.1. Elementi koje
treba uzeti uobzir obuhvataju štampane izveštaje, prikaze na ekranima, medijume sa
zapisima (npr., trake, diskove, CD), poruke u elektronskom obliku, i prenošenje datoteka.
Za svaki nivo klasifikovanosti, treba definisati procedure za postupanje uključujući
sigurnosno procesiranje, skladištenje, prenos, deklasifikovanje i uništavanje. Ovim
trebatakođe da se obuhvate procedure za lanac čuvanja i zapisivanja svih događaja u vezi
sasigurnošću.
Sporazumi sa drugim organizacijama koji uključuju zajedničko korišćenje informacija
trebada obuhvate procedure za identifikovanje klasifikovanosti tih informacija i za
tumačenjeoznaka klasifikovanja iz drugih organizacija.
Ostale informacije
Označavanje i sigurnno postupanje sa klasifikovanim informacijama predstavlja
ključni zahtev kod sporazuma o zajedničkom korišćenju informacija. Uobičajeni oblik
označavanja predstavljaju fizičke nalepnice. Međutim neka informaciona dobra, kao što
su dokumenti u elektronskom obliku, ne mogu se fizički označiti i za njihovo označavanje
potrebno je koristiti elektronska sredstva. Na primer, oznaka sa obaveštenjem može se
pojaviti naekranu ili na displeju. Kada označavanje nije ostvarljivo, za označavanje
klasifikovanihinformacija mogu se primenjivati druga sredstva, npr., preko procedura ili

metapodataka.
17. Bezbednost ljudskih resursa
17.1. Pre zaposlenja

Cilj: Obezbediti da zaposleni, ugovorne i treće strane razumeju svoje odgovornosti,
proveriti njihovu podobnost za posao koji im je namenjen i minimizirati rizik od krađe,
prevare ili zloupotrebe sredstava.
Pre zapošljavanja dodeliti odgovornosti u zaštiti, adekvatnim opisima posla i uslova
zapošljavanja.
Sve kandidate za zapošljavanje, izvođače radova i korisnike treće strane treba
adekvatno odabrati, posebno za osetljive poslove.
Zaposleni, ugovorne i treće strane koji koriste opremu za obradu informacija, treba
da potpišu sporazum o njihovim ulogama i odgovornostima u zaštiti.
17.1.1. Uloge i odgovornosti

Kontrola
Definisati i dokumentovati bezbednosne uloge i odgovornosti zaposlenih, izvođača
radova i korisnika treće strane. u skladu sa politikom zaštite informacija organizacije.
Uputstvo za implementaciju Uloge i odgovornosti u pogledu sigurnosti treba da
uključe zahteve da se:
a) implementira i deluje u skladu sa politikama sigurnosti informacija u
organizaciji(videti 5.1);
b) dobra zaštite od neovlašćenog pristupa, otkrivanja, modifikovanja, uništavanja ili
ometanja;
c) izvršavaju posebni procesi ili aktivnosti zaštite;
d) osigura dodela odgovornosti pojedincu za akcije koje preduzima;
e) izveštava o događajima u vezi sigurnosti ili potencijalnim događajima ili drugim
rizicima po sigurnost u organizaciji.
Tokom postupka koji prethodi prijemu na posao, treba definisati i kandidatima jasno
saopštiti njihove uloge i odgovornosti u pogledu sigurnosti.
Ostale informacije
Opisi poslova se mogu koristiti za dokumentovanje uloga i odgovornosti u pogledu
sigurnosti. Treba takođe jasno definisati i ukazati na uloge i odgovornosti u pogledu
sigurnosti pojedinaca koji nisu bili angažovani kroz proces zapošljavanja u organizaciji,
npr., kada se oni angažuju preko neke organizacije sa treće strane.
28
3
Objašnjenje: Reč "zaposlenje" ovde se podrazumeva da obuhvata različite situacije:
zapošljavanje ljudi (privremeno ili dugoročno), dodelu poslovnih uloga, izmenu poslovnih
uloga, dodelu zaduženja po ugovoru i završetak bilo kog od ovih aranžmana.
17.1.2. Izbor kandidata

Kontrola
Proveriti biografiju radi verifikovanja svih kiidata za zaposlenje, izvođača radova i
korisnika treće strane, u skladu sa odgovarajućim zakonima, regulativama i etičkim
principima, i srazmerno poslovnim zahtevima i sagledanim rizicima klasifikovati
informacije kojima će pristupati.
Uputstvo za implementaciju Provere radi verifikovanja treba da uzmu u obzir svu
odgovarajuću zakonsku regulativu u pogledu privatnosti, zaštite podataka o ličnosti i/ili
zapošljavanju i treba da, gde je to dozvoljeno, obuhvate sledeće:
a) raspoloživost zadovoljavajućih preporuka u pogledu karaktera ličnosti, npr., jedna
poslovna i jedna lična;
b) proveru (potpunosti i tačnosti) biografije kandidata;
c) potvru podnetih dokumenata o akademskim i profesionalnim kvalifikacijama;
d) nezavisnu proveru identiteta (pasoš ili sličan dokument);
e) detaljnije provere, kao što su provere kreditnih zaduženja ili kriminalističkih
dosijea.
Kada posao, bilo u inicijalnom postavljenju ili unapređenju, uključuje osobu koja ima
pristup opremi za procesiranje informacija, a posebno ako se postupa sa osetljivim
informacijama, npr., finansijske ili strogo poverljive informacije, organizacija treba da
uzme u obzir dodatne i detaljnije provere.
Procedure treba da definišu kriterijume i ograničenja kod provere radi verifikovanja,
npr., ko je pogodan za odabiranje ljudi i kako, kada i zašto se sprovode provere radi
verifikovanja.
Proces provere treba takođe sprovesti za izvođače radova, kao i za korisnike sa treće
strane. Kada se izvođači radova obezbeđuju preko neke agencije, ugovor sa tom
agencijom treba dajasno specificira odgovornosti agencije za proveru i za procedure
obaveštavanja koje onatreba da sprovede ukoliko provera nije dovršena ili ako rezultati
daju povod za sumnju ili zabrinutost. Na isti način, sporazum sa trećom stranom (videti
takođe 6.2.3) treba jasno daspecificira sve odgovornosti i procedure obaveštavanja o
proveri.
Informacije o svim kandidatima koji se razmatraju za postavljenje unutar
organizacijetreba prikupljati i sa njima postupati u skladu sa bilo kojom odgovarajućom
postojećom zakonskom regulativom u datom pravnom sistemu. Zavisno od
zakonodavstva koje seprimenjuje, kandidate treba unapred obavestiti o aktivnostima
provere.
17.1.3. Uslovi za zapošljavanje

Kontrola
Kao deo svojih ugovornih obaveza, zaposleni, izvođači radova i korisnici treće strane
treba da se saglase i potpišu ugovor o uslovima svog zapošljavanja, u kojem treba da su
iskazane njihove odgovornosti i odgovornosti organizacije za zaštitu informacija.
Uslovi zapošljavanja treba da odražavaju politiku zaštite organizacije, a pored toga da
razjasne i utvrde:
a) da svi zaposleni, izvođači radova i korisnici treće strane kojima je dodeljen
pristup osetljivim informacijama, pre nego što im se dozvoli pristup opremi
za obradu informacija, treba da potpišu sporazum o poverljivosti i
neotkrivanju informacija;
wwwww) zakonske odgovornosti i prava zaposlenih, izvođača radova i bilo
kojih drugih korisnika, npr., u pogledu zaštite prava na kopiranje, ili zakonske
regulative o zaštiti podataka (videti takođe 24.1.1 i 24.1.2);
xxxxx) odgovornosti za klasifikovanje informacija i upravljanje imovinom
organizacije koja je u vezi sa informacionim sistemima i servisima sa kojima
rade zaposleni, izvođači radova ili korisnici treće starane (videti takođe 16.2.1
i 19.7.3);
yyyyy) odgovornost zaposlenog, izvođača radova, ili korisnika treće strane, za
postupanje sa informacijama primljenim od drugih kompanija ili spoljnih
strana;
zzzzz) odgovornosti organizacije za postupanje sa ličnim podacima osoblja,
uključujući lične podatke nastale kao rezultat zapošljavanja ili u toku
zaposlenja u organizaciji (videti takođe 24.1.4);
aaaaaa) dodatne odgovornosti zbog rada izvan prostorija organizacije i
produženog radnog vremena, npr., u slučaju rada kod kuće (videti takođe
18.2.5 i 20.7.1);
bbbbbb) akcije koje treba preduzeti ako zaposleni, izvođač radova ili
korisnik treće strane ignoriše bezbednosne zahteve organizacije (videti
takođe 17.2.3)
Organizacija treba da osigura da zaposleni, izvođač radova i korisnici treće strane
prihvate uslove u pogledu zaštite informacija, koja odgovaraja prirodi i nivou njihovog
pristupa imovini organizacije vezanoj za informacione sisteme ili usluge.
Gde to odgovara, odgovornosti navedene u uslovima zapošljavanja treba da važe i za
definisani period posle prestanka zaposlenja (videti takođe 17.3).
Ostale informacije
Kao dodatak za obezbeđivanje odgovornosti zaposlenih, izvođača radova, ili korisnika
treće strane, u pogledu poverljivosti, zaštite podataka, etičkih normi, odgovarajućeg
korišćenja uređaja i opreme organizacije, kao i očuvanje renomiranih praksi koja se od
organizacije očekuje, može se primeniti kodeks ponašanja. Izvođač radova ili korisnici
treće strane mogu biti povezani sa nekom spoljnom organizacijom od koje se može
zahtevati da bude uključena u ugovorne aranžmane preko njenog zastupnika.
30
17.2. Tokom zaposlenja
Cilj: Obezbediti da svi zaposleni, ugovorne i treće strane imaju: svest o pretnjama i
svojoj ulozi u zaštiti informacija, odgovornosti i obaveze, opremu koja podržava politiku
zaštite organizacije tokom njihovog normalnog rada, i smanjiti rizik ljudske greške.
Da bi se osiguralo da se sigurnost primenjuje tokom celog trajanja zaposlenja nekog
pojedinca u organizaciji, treba definisati određene odgovornosti menadžmenta.
Svim zaposlenima, izvođačima radova i korisnicima sa treće strane treba
pružitiodgovarajući nivo upoznavanja i obuke o procedurama zaštite i ispravnom
korišćenjuopreme za procesiranje informacija kako bi se na minimum sveli mogući rizici
po sigurnost. Takođe treba uspostaviti zvanični disciplinski postupak u slučaju kada dođe
do kršenja sigurnosti.
17.2.1. Odgovornosti menadžmenta

Kontrola
Menadžment treba da zahteva od zaposlenih, izvođača radova i korisnika treće
strane da primenjuju zaštitu u skladu sa uspostavljenim politikom i procedurama zaštite
organizacije.
Uputstvo za implementaciju Odgovornosti menadžmenta treba da obuhvate
osiguranje da se zaposlenima, izvođačima radova i korisnicima sa treće strane:
a) odgovarajuće ukaže na njihovu ulogu u sigurnosti informacija pre nego što im
se dozvoli pristup osetljivim informacijama ili informacionim sistemima;
b) pruže smernice koje navode sigurnosna očekivanja od njihove uloge u
organizaciji;
c) obezbedi motivisanost da se ostvari politika sigurnosti u organizaciji;
d) postigne nivo poznavanja sigurnosti u skladu sa njihovim ulogama i
odgovornostima unutar organizacije (videti takođe 8.2.2);
e) usklade sa uslovima zapošljavanja, što uključuje politiku organizacije o
sigurnosti informacija i odgovarajuće metode rada;
f) nastavi razvoj odgovarajućih znanja i kvalifikacija.
Ostale informacije
Ukoliko zaposleni, izvođači radova i korisnici sa treće strane nisu upoznati sa
svojimodgovornostima u pogledu sigurnosti oni mogu napraviti znatnu štetu po
organizaciju.Očekuje se da će motivisano osoblje biti pouzdanije i praviće manje
incidenata narušavanja sigurnosti.
Loše rukovođenje može dovesti do toga da se osoblje oseća potcenjenim što vodi
negativnimposledicama po sigurnost u organizaciji. Na primer, loše rukovođenje može
dovesti do togada se sigurnost zapostavi ili možda loše postupi sa imovinom organizacije.
17.2.2. Obrazovanje, obuka i razvoj svesti o potrebi zaštite informacija

Kontrola
Svi zaposleni u organizaciji i, gde je to bitno, izvođači radova i korisnici treće strane,
treba redovno da dobijaju odgovarajuću obuku i obnavljaju znanja o bezbednosnim
politikama i procedurama, u skladu sa njihovim poslovnim funkcijiama.
Pre davanja pristupa informacijama ili uslugama treba započeti obuku upoznavanja
sazvaničnim postupkom podsticanja koji je projektovan radi uvođenja politike sigurnosti u
samoj organizaciji i određenih očekivanja.
U toku obuke treba da obuhvatiti zahteve sigurnosti, zakonske obaveze i poslovne
kontrole, kao i obuku za ispravno korišćenje opreme za obradu informacija, npr.,
procedure za prijavljivanje, korišćenje softverskih paketa i informacije o disciplinskim
postupcima (17.2.3).
Ostale informacije
Aktivnosti na razvijanju svesti o sigurnosti, školovanju i obuci treba da pogoduju ulozi
polaznika, njegovim znanjima i odgovornostima i treba da obuhvate informacije o
poznatimpretnjama, koga treba kontaktirati za dalje savete o sigurnosti i odgovarajuće
kanale za izveštavanje o incidentima narušavanja sigurnosti (videti takođe 13.1).
Obuka u cilju unapređenja poznavanja namenjena je da bi se pojedincima omogućilo
da prepoznaju probleme i incidente narušavanja sigurnosti informacija, kao i da odgovore
uskladu sa potrebama njihove poslovne uloge.
17.2.3. Disciplinski postupak

Kontrola
Treba da postoji zvaničan disciplinski postupak za zaposlene koji su narušili
bezbednost.
Disciplinski postupak ne treba započinjati dok se ne verifikuje da se dogodilo
narušavanjesigurnosti (za prikupljanje dokaza, videti 13.2.3).
Zvaničan disciplinski postupak treba da osigura ispravan i pošten postupak
premazaposlenima, za koje se posumnja da su počinili narušavanje sigurnosti. Zvaničan
disciplinski postupak treba da obezbedi stepenast pristup čime se uzimaju u obzir činioci
kao što su priroda i težina prekršaja i njegove posledice na poslovanje, da li je to bio prvi
ili ponovljeni pokušaj, da li je prekršilac imao ili nije imao odgovarajuću obuku,
odgovarajuće zakone, poslovne ugovore i druge faktore po potrebi. U ozbiljnim
slučajevima zloupotrebe,postupak treba da omogući trenutno oduzimanje dozvole za rad,
prava na pristupanje ipovlastice, kao i trenutno sprovođenje izvan službenih prostorija,
ako je to neophodno.
Ostale informacije
Disciplinski postupak treba takođe da se koristi za odvraćanje zaposlenih, izvođača
radova ili korisnika sa treće strane od kršenja politike i postupaka sigurnosti u organizaciji,
kao idrugih narušavanja sigurnosti.
17.3. Prekid ili promena zaposlenja

Cilj: Obezbediti da svi zaposleni, ugovorne i treće strane, napuštanje organizacije ili
promenu zaposlenja vrše prema propisu.
32
Treba uspostaviti odgovornosti kako bi se osiguralo upravljanje odlaskom nekog
zaposlenog, izvođača radova ili korisnika sa treće strane iz organizacije kao i da se vrate
svi uređaji i ukinu sva prava na pristup.
Promenom odgovornosti i zaposlenih unutar organizacije treba upravljati kao da je to
prestanak zaposlenja i odgovarajućih odgovornosti u skladu sa ovim odeljkom, a svako
novozapošljavanje treba sprovoditi kako je opisano u odeljku 8.1.
17.3.1. Odgovornosti po prestanku ili promeni zaposlenja

Kontrola
Treba jasno definisati i dodeliti odgovornosti kod prestanka zaposlenja ili promene
radnog mesta.
Obaveštavanje o odgovornostima prilikom prestanka zaposlenja treba da sadrži
tekuće zahteve sigurnosti i zakonske obaveze, a gde je potrebno, obaveze sadržane u bilo
kojemsporazumu o poverljivosti (videti 6.1.5) kao i uslovima zapošljavanja (videti 8.1.3)
koji seprodužuju u definisanom periodu trajanja posle prestanka rada nekog zaposlenog,
izvođača radova ili korisnika sa treće strane.
Dužnosti i obaveze koje ostaju u važnosti i posle prestanka zaposlenja treba da budu
sadržane u ugovorima sa zaposlenim, izvođačem radova ili korisnikom sa treće strane.
Izmene odgovornosti ili promenu radnog mesta treba tretirati kao prestanak
odgovarajućih odgovornosti ili zaposlenja, a nove odgovornosti ili radno mesto treba
kontrolisati kako jeopisano u 8.1.
Ostale informacije
Za ukupan proces prestanka zaposlenja u opštem slučaju zadužena je služba ljudskih
resursa i ona funkcioniše zajedno sa nadređenim rukovodiocem osobe koja odlazi, kako bi
seaspektima sigurnosti upravljalo prema odgovarajućim procedurama. U slučaju da se
radi oizvođaču radova, ovaj proces prestanka zaposlenja i odgovornosti može umesto
ugovarača preduzeti ovlašćena agencija, a u slučaju nekog drugog korisnika ovo se može
uraditi preko njegove organizacije.
Može biti neophodno da se zaposleni, izvođači radova ili korisnici sa treće strane
obaveste o izmenama u sporazumima o osoblju i radnim uslovima.
17.3.2. Vraćanje imovine

Kontrola
Svi zaposleni, izvođači radova i korisnici treće strane, po prestanku zaposlenja, isteku
ugovora ili sporazuma moraju da vrate svu imovinu organizacije koju poseduju.
Proses završetka zaposlenja treba formalizovati tako da obuhvati vraćanje svih
ranijeizdatih softvera, zajedničkih dokumenata i opreme. Takođe treba vratiti i druga
dobraorganizacije kao što su prenosivi računarski uređaji, kreditne kartice, kartice za
pristup, softveri, priručnici i informacije sačuvane na elektronskim medijumima.
U slučajevima kada neki zaposleni, izvođač radova ili korisnik sa treće strane otkupi
neki uređaj organizacije ili koristi svoj lični uređaj, treba se pridržavati procedura kako bi
se osiguralo da se sve odgovarajuće informacije prenesu u organizaciju i sigurno izbrišu iz

tih uređaja (videti takoće 10.7.1).
U slučajevima kada neki zaposleni, izvođač radova ili korisnik sa treće strane
poseduje znanja koja su važna za tekuće funkcionisanje, takve informacije treba
dokumentovati i preneti u organizaciju.
17.3.3. Ukidanje prava pristupa

Kontrola
Po prestanku zaposlenja, isteka ugovora ili usklađivanja nakon promena, svim
zaposlenima, izvođačima radova i korisnicima treće strane treba ukinuti prava pristupa
informacijama i opremi za obradu informacija.
Po prestanku zaposlenja, treba preispitati pojedinačna prava pristupa informacionim
sistemima i uslugama. Time će se utvrditi da li je neophodno da se prava na pristup
ukinu.Promene zaposlenja treba da se odraze na ukidanju svih prava na pristup koja nisu
odobrena za novo radno mesto. Prava na pristup koja treba ukinuti ili prilagoditi
uključujufizički i logički pristup, ključeve, identifikacione kartice, opremu za obradu
informacija (videti takođe 11.2.4), pretplate i uklanjanje svih dokumenata kojim se oni
identifikuju kaozaposleni u organizaciji. Ako je odlazeći zaposleni, podizvođač radova ili
korisnik sa treće strane znao lozinke za račune koji ostaju aktivni, treba ih izmeniti po
prestanku zaposlenjaili promeni radnog mesta, ugovora ili sporazuma.
Prava na pristup informacionoj imovini i opremi za procesiranje informacija treba
smanjiti ili ukinuti pre prestanka ili promene zaposlenja, zavisno od procenjenih faktora
rizika kao što su:
a) da li je prestanak ili izmenu inicirao zaposleni, izvođač radova ili korisnik sa
treće strane, ili menadžment, kao i razlog prestanka zaposlenja;
b) tekuće odgovornosti zaposlenog, izvođača radova ili drugih korisnika;
c) vrednost imovine koja je tekuće dostupna.
Ostale informacije
U određenim okolnostima prava na pristup mogu se dodeljivati na osnovu
dostupnosti za više osoba pored odlazećeg zaposlenog, izvođača radova ili korisnika sa
treće strane, npr.grupni identifikatori (ID). U takvim okolnostima pojedince koji odlaze
treba ukloniti sa svih spiskova za pristupanje grupa a treba napraviti planove za
obaveštavanje svih drugih zaposlenih, izvođača radova i korisnika sa treće strane da ove
informacije više ne koriste zajednički sa osobom koja odlazi.
U slučajevima da je prestanak zaposlenja pokrenuo menadžment, nezadovoljni
zaposleni, izvođači radova i korisnici sa treće strane mogu namerno oštetiti informacije ili
izvršitisabotažu na opremi za procesiranje informacija. U slučajevima kada osobe podnose
ostavku, one mogu doći u iskušenje da prikupe informacije radi korišćenja u budućnosti.
34
18. Fizička zaštita i zaštita radnog okruženja
18.1. Obezbeđena područja

Cilj: Onemogućiti neovlašćeni fizički pristup, oštećenja i ometanje u prostorijama i
informacijama organizacije.
Oprema za procesiranje kritičnih ili osetljivih informacija treba da je smeštena u
sigurnim oblastima, koja su zaštićena u definisanim sigurnosnim zonama razdvajanja, sa
odgovarajućim sigurnosnim pregradama i kontrolama ulaska. Ona treba da bude fizički
zaštićena od neovlašćenog pristupa, oštećenja i ometanja.
Zaštita koja se obezbeđuje treba da je primerena identifikovanim rizicima.
18.1.1. Granice fizičke zaštite

Kontrola
Da bi se zaštitile oblasti koje sadrže informacije i opremu za procesiranje informacija,
treba koristiti bezbednosne zone razdvajanja (prepreke kao što su zidovi, kapije sa
kontrolom ulaza pomoću kartice, ili prijavnice sa osobljem).
Za zone razdvajanja fizičke sigurnosti, gde to odgovara, treba uzeti u obzir i
implementirati sledeće smernice:
a) sigurnosne zone razdvajanja treba da budu jasno definisane, a lokacija i
čvrstina svake od zonaa treba da zavise od zahteva za sigurnost imovine
unutar te zone kao i rezultata ocene rizika;
b) zone razdvajanja u zgradi ili na lokaciji koje sadrže opremu za procesiranje
informacija treba da su fizički valjane (tj. ne bi trebalo da postoje procepi ili
oblastikroz koje bi se lako mogao desiti upad); spoljni zidovi na toj lokaciji
treba da su odčvrstog materijala, a sva spoljna vrata treba da su pogodno
zaštićena od neovlašćenog pristupa pomoću kontrolnih mehanizama, npr.,
rešetkama, alarmima,bravama itd.; vrata i prozori treba da su zaključani kada
su bez nadzora a kada se radi o prozorima treba razmotriti spoljnu zaštitu,
posebno u prizemlju;
c) treba postaviti prijavnice sa osobljem ili druga sredstva za kontrolu fizičkog
pristupa do lokacije ili zgrade; pristup lokacijama ili zgradama treba da je
ograničen samo na ovlašćeno osoblje;
d) gde je to primenljivo, treba da su izgrađene fizičke prepreke, kako bi se
sprečio neovlašćeni fizički pristup i zagađenje iz okoline;
e) sva požarna pregradna vrata u sigurnosnoj zoni razdvajanja treba da imaju
alarmni uređaj, da se nadgledaju i proveravaju zajedno sa zidovima kako bi se
uspostavio potreban nivo otpornosti u skladu sa odgovarajućim regionalnim,
nacionalnim i međunarodnim standardima; ona treba da funkcionišu u skladu
sa lokalnim protivpožarnim pravilima, osigurana od otkaza;
f) da bi se osigurala sva spoljna vrata i dostupni prozori treba postaviti
protivprovalne alarmne sisteme u skladu sa nacionalnim, regionalnim ili
međunarodnim standardima; oblasti bez osoblja treba da su pod alarmom u
svakom trenutku; ovo javljanje treba takođe obezbediti i za druge oblasti,

npr., za prostorije sa računarima ili za komunikacione prostorije;
g) oprema za procesiranje informacija kojom upravlja organizacija treba da je
fizički odvojena od one kojom upravljaju treće strane.
Ostale informacije
Fizička zaštita se može ostvariti postavljanjem jedne ili više fizičkih prepreka oko
prostorija organizacije i opreme za procesiranje informacija. Korišćenje višestrukih
prepreka pruža dodatnu zaštitu, gde otkaz jedne od prepreka ne znači da je sigurnost
odmahkompromitovana.
Sigurna oblast može biti kancelarija koja se zaključava ili nekoliko prostorija
obuhvaćenih fizičkom sigurnosnom preprekom. Za kontrolu fizičkog pristupa između
oblasti sa različitim zahtevima za sigurnost unutar sigurnosne zone razdvajanja, mogu biti
potrebne dodatneprepreke i zone razdvajanja.
Posebno treba razmotriti sigurnost fizičkog pristupa za zgrade u kojima je smešteno
više organizacija.
18.1.2. Kontrole fizičkog ulaza

Kontrola
Zaštićena područja treba obezbediti odgovarajućim kontrolama ulaska kako bi se
osigurao pristup samo ovlašćenog osoblja.
Uputstvo za implementaciju Treba uzeti u obzir sledeće smernice:
a) treba zapisivati datume i vreme ulaska i izlaska posetilaca, a sve posetioce
treba nadgledati osim ako njihov pristup nije prethodno odobren; njima
pristup treba odobriti samo za specifične, autorizovane svrhe i treba im izdati
uputstva o zahtevima za sigurnost oblasti i o procedurama za vanredne
situacije;
b) pristup oblastima u kojima se procesiraju ili čuvaju osetljive informacije,
treba da bude kontrolisan i ograničen samo na ovlašćene osobe; za
autorizaciju i validaciju svih pristupa treba primeniti kontrole verodostojnosti,
npr., kartice za kontrolu pristupa zajedno sa ličnim identifikacionim brojem
(PIN); o svim pristupima treba zaštićeno održavati tragove za proveru;
c) od sveg osoblja, izvođača radova i korisnika sa treće strane kao i od svih
posetilaca treba zahtevati da nose neku formu vidljive identifikacije i treba
odmah izvestitiosoblje obezbeđenja ukoliko se naiđe na posetioce bez
pratioca kao i o bilo kojoj drugoj osobi koja ne nosi vidljivu identifikaciju;
d) osoblju usluga podrške treće strane treba odobriti ograničen pristup
sigurnimoblastima ili opremi za procesiranje osetljivih informacija samo kada
je potrebno;ovakav pristup treba da bude autorizovan i nadgledan;
e) prava pristupa sigurnim oblastima treba redovno preispitivati i ažurirati, a
treba ih i povlačiti kada je potrebno (videti 17.3.3).
18.1.3. Zaštita kancelarija, prostorija i sredstava

Kontrola
36
Projektovati i primeniti fizičku zaštitu kancelarija, prostorija i sredstava.
Uputstvo za implementaciju Za zaštitu kancelarija, prostorija i opreme treba
predvideti sledeće smernice:
a) u obzir treba uzeti odgovarajuće propise i standarde o zaštiti zdravlja i bezbenosti;
b) ključna oprema treba da je postavljena tako da se izbegne mogućnost javnog
pristupa;
c) kada je to primenljivo, zgrade treba da su neuočljive i da što manje ukazuju na
svoju namenu, bez vidljivih oznaka izvan ili unutar zgrade, koje bi ukazivale na prisutnost
aktivnosti procesiranja informacija;
d) direktorijumi i interni telefonski imenici u kojima su navedene lokacije oprema za
procesiranje osetljivih informacija, ne treba da budu lako dostupni javnosti;
18.1.4. Zaštita od prirodnih i spoljnjih pretnji

Kontrola
Projektovati i primeniti fizičku zaštitu od oštećenja usled požara, poplave,
zemljotresa, eksplozije, društvenih nemira i drugih oblika prirodnih ili od strane ljudi
prouzrokovanih katastrofa.
Treba razmotriti sve moguće bezbednosne pretnje od susednih objekata, npr., od
požara u susednoj zgradi, curenja vode sa krova i iz podova, ili eksplozija na ulici.
Sledeće smernice razmatraju izbegavanje štete od požara, poplave, zemljotresa,
eksplozije , društvenih nemira i drugih oblika prirodnih ili od strane ljudi prouzrokovanih
katastrofa:
a) opasne i zapaljive materijale treba držati na bezbednom rastojanju od
zaštićenih zona. Pomoćni materijal, poput kancelarijskog pribora, ne treba
čuvati unutar zaštićenih zona;
b) oprema za povratak u prethodno stanje i backup medijumi treba da se nalaze
na bezbednoj udaljenosti, kako bi se izbegla štete od katastrofe na glavnoj
lokaciji;
c) treba obezbediti i odgovarajuće postaviti odgovarajuću opremu za gašenje
požara.
18.1.5. Rad u zaštićenim područjima

Kontrola
Projektovati i primeniti fizičku zaštitu i uputstva za rad u zaštićenim područjima.
Treba uzeti u obzir sledeće smernice:
a) osoblje treba da bude svesno postojanja ili aktivnosti unutar sigurne oblasti,
samo na osnovu onoga što je potrebno da zna;
b) treba izbegavati rad bez nadzora u sigurnim oblastima iz razloga bezbednosti
kao ida bi se sprečile mogućnosti za zlonamerne aktivnosti;
c) sigurne oblasti koje se ne koriste treba da su fizički zaključane i da se

periodično proveravaju;
d) ne treba dozvoliti unošenje fotografskih, video, audio ili drugih uređaja
zazapisivanje kao što su kamere u mobilnim uređajima, osim ako to nije
posebnoodobreno.
Dogovori o radu u sigurnim oblastima uključuju kontrolisanje zaposlenih, izvođača
radova i korisnika sa treće strane koji rade u sigurnoj oblasti, kao drugih i aktivnosti trećih
strana koje se tu odvijaju.
18.1.6. Područja za javni pristup, isporuku i utovar

Kontrola
Tačke pristupa kao što su područja za isporuku i utovar, kao i druga mesta gde
neovlašćena lica mogu ući u službene prostorije, treba kontrolisati i, ako je moguće,
izdvojiti od opreme za procesiranje informacija kako bi se izbegao neovlašćeni pristup.
a) pristup području prijema i utovara sa spoljne strane zgrade treba ograničiti
na identifikovano i ovlašćeno osoblje;
b) područje isporuke i utovara treba da je projektovano tako da se isporuke
moguistovariti bez omogućenja pristupa osoblja za isporuku u druge delove
zgrade;
c) spoljna vrata u području isporuke i utovara treba da su osigurana kada se
unutrašnja vrata otvore;
d) dolazni materijal treba pregledati od mogućih pretnji pre nego što se on
prenese iz područja isporuke i utovara do mesta korišćenja (videti 9.2.1d);
e) dolazni materijal treba prilikom ulaska registrovati u skladu sa
proceduramaupravljanja imovinom (videti takođe 7.1.1);
f) dolazne i izlazne isporuke treba fizički razdvojiti kada je to moguće.
18.2. Zaštita opreme

Cilj: Onemogućiti gubitke, oštećenja, krađu ili kompromitovanje imovine i ometanje
aktivnosti organizacije.
Opremu treba zaštititi od fizičkih pretnji i pretnji iz okruženja.
Zaštita opreme (uključujući onu koja se koristi van organizacije, kao i kod
preseljenjaimovine) neophodna je kako bi se smanjio rizik od neovlašćenog pristupa
informacijama i da bi se one zaštitile od gubitka i oštećenja. Ovo treba uzeti u obzir i za
opremu koja sepostavlja ili odbacuje. Mmogu se zahtevati specijalne kontrole za zaštitu
od fizičkih pretnji, kao i za odbranu sistema za podršku, kao što je električno napajanje i
kablovskainfrastruktura.
18.2.1. Smeštaj i zaštita opreme

Kontrola
38
Opremu treba postaviti ili zaštititi tako da se smanji rizik od pretnji i opasnosti iz
okruženja, kao i mogućnost neovlašćenog pristupa.
Za zaštitu opreme u obzir treba uzeti sledeće smernice:
a) opremu treba postaviti tako da se na minimum smanji nepotreban pristup u
područja obavjanja rada;
b) opremu za procesiranje informacija koja postupa sa osetljivim podacima
treba postaviti i ograničiti ugao posmatranja tako da se smanji rizik od
vidljivostiinformacija neovlašćenim osobama za vreme njenog korišćenja, a
opremu zaskladištenje treba osigurati kako bi se izbegao neovlašćeni pritup;
c) elemente koji zahtevaju posebnu zaštitu treba izdvojiti kako bi se smanjio
opšti nivopotrebne zaštite;
d) treba usvojiti kontrole da bi se na minimum smanjio rizik od potencijalnih
fizičkih pretnji, npr., krađe, požara, eksplozija, dima, vode (ili kvarova na
vodovodnoj instalaciji), prašine, vibracija, hemijskih uticaja, smetnji iz mreže
napajanja, smetnjina komunikacijama, elektromagnetskih zračenja i
vandalizama;
e) treba uspostaviti smernice u odnosu na uzimanje hrane, pića i pušenje u
bliziniopreme za procesiranje informacija;
f) treba nadgledati uslove okoline, kao što su temperatura i vlažnost, koji bi
mogli negativno da utiču na rad opreme za procesiranje informacija;
g) na svim zgradama treba primeniti zaštitu od atmosferskih pražnjenja a na
svedolazne vodove napajanja i komunikacione vodove treba postaviti filtre za
zaštitnu od atmosferskih pražnjenja;
h) za opremu u industrijskom okruženju treba uzeti u obzir primenu specijalnih
metoda zaštite, kao što su membrane za tastature;
i) opremu za procesiranje osetljivih informacija treba zaštititi kako bi se na
minimumsveo rizik od curenja informacija usled zračenja.
18.2.2. Sredstva za podršku

Kontrola
Oprema treba da bude zaštićena od prekida napajanja i uticaja otkaza drugih
sredstava za podršku.
Sve pomoćne funkcije za podršku, kao što su električno napajanje, snabdevanje
vodom, kanalizacija, grejanje / ventilacija i klimatizacija treba da budu adekvatni
sistemima koje podržavaju. Pomoćne funkcije za podršku treba redovno pregledati i po
potrebi proveravatikako bi se osiguralo njihovo ispravno funkcionisanje i smanjio bilo koji
rizik od njihovog pogrešnog funkcionisanja ili otkaza. Treba obezbediti pogodno električno
napajanje koje je u skladu sa specifikacijama proizvođača za opremu.
Za podršku opremi koja izvršava kritične poslovne operacije, preporučuje se uređaj
zaneprekidno napajanje (UPS) kojim se obezbeđuje uređeni prekid rada ili neprekidan
rad. Planovi za nepredviđene situacije sa napajanjem treba da obuhvate i akcije koje
sepreduzimaju kada UPS otkaže. Ako procesiranje treba da se nastavi i u slučaju
dužegprekida napajanja, treba predvideti rezervni električni generator. Na raspolaganju

treba daje adekvatna količina goriva kako bi se osiguralo da generator može da radi u
dužem periodu. Uređaje UPS i generatore treba redovno proveravati kako bi se osiguralo
da oni imaju adekvatnu sposobnost kao i da se ispituju u skladu sa preporukama
proizvođača. Dodatno, treba razmotriti korišćenje višestrukih izvora napajanja, ili ukoliko
je mestoveliko, zasebnu podstanicu za napajanje.
Prekidači za hitno isključivanje napajanja treba da budu u prostorijama sa
opremomlocirani u blizini izlaza za slučaj opasnosti, kako bi se olakšalo brzo isključivanje
napajanja u vanrednim situacijama. Treba obezbediti nužno osvetljenje za slučaj otkaza
napajanja iz mreže.
Snabdevanje vodom treba da je stabilno i adekvatno za napajanje uređaja za
klimatizaciju, uređaja za ovlaživanje i sistema za gašenje požara (ako se koristi). Loše
funkcionisanje sistema za snabdevanje vodom može oštetiti opremu ili sprečiti
efektivnost delovanja sistema za gašenje požara. Za otkrivanje neodgovarajućeg
funkcionisanja pomoćnih funkcija za podršku, treba proceniti i po potrebi instalirati
alarmni sistem.
Telekomunikaciona oprema treba da bude povezana sa davaocem pomoćne
funkcijenajmanje preko dve različite trase kako bi se sprečilo da otkaz na jednoj liniji
onemogući govorne veze. Govorne veze treba da su adekvatne kako bi se ispunili lokalni
zakonski zahtevi za komunikaciju u vanrednim uslovima.
Ostale informacije
Opcije za ostvarivanje neprekidnog električnog napajanja uključuju višestruke
dovode kako bi se izbegao otkaz usled napajanja preko jedne jedine tačke.
18.2.3. Zaštita kablova

Kontrola
Naponski i telekomunikacioni kablovi za prenos podataka, ili podršku informacionih
servisa, treba da su zaštićeni od prisluškivanja ili oštećenja.
Treba uzeti u obzir sledeće smernice za sigurnost kablova:
a) vodovi napajanja i telekomunikacioni vodovi koji ulaze u prostorije za procesiranje
informacija treba da su podzemni, gde je to moguće, ili treba da budu predmet adekvatne
alternativne zaštite;
b) mrežni kablovi treba da budu zaštićeni od neovlašćenog prisluškivanja ili
oštećenja,na primer korišćenjem kanala ili izbegavanjem da se vode kroz javno dostupne
oblasti;
c) kablove napajanja treba odvojiti od komunikacionih kablova kako bi se sprečile
smetnje;
d) treba primeniti jasne oznake na kablovima i opremi kako bi se na minimum
smanjile greške prilikom rukovanja, kao što je slučajno prespajanje pogrešnih mrežnih
kablova;
e) da bi se smanjila mogućnost grešaka, treba da se koristi dokumentovan spisak za
prespajanja;
40
f) kod osetljivih ili kritičnih sistema dalje kontrole koje treba uzeti u obzir uključuju:
1) postavljanje oklopljenih kanala i zaključanih prostorija ili kutija na mestima za
proveru i na priključnim mestima;
2) korišćenje alternativnih trasa i/ili prenosnih medijuma koji obezbeđuju
odgovarajuću zaštitu;
3) primenu optičkih kablova;
4) primenu elektromagnetskog oklapanja radi zaštite kablova;
5) pokretanje tehničkog pretraživanja i fizičkog pregledanja radi iznalaženja
neovlašćeno priključenih uređaja na kablovima;6) kontrolisan pristup do razvodnih tabli i
u prostorije za povezivanje.
18.2.4. Održavanje opreme

Kontrola
Opremu treba propisno održavati kako bi se obezbedila njena neprekidna
raspoloživost i sačuvao integritet.
Uputstvo za implementaciju Za održavanje opreme treba uzeti u obzir sledeće
smernice:
a) opremu treba održavati skladu sa servisnim intervalima i prema specifikacijama
kako je preporučio isporučilac;
b) popravke i servisiranje opreme treba da obavlja samo osoblje ovlašćeno za
održavanje;
c) treba čuvati zapise o svim sumnjivim ili stvarnim neispravnostima, kao i o svim
preventivnim i korektivnim održavanjima;
d) odgovarajuće kontrole treba implementirati kada se planira održavanje opreme,
uzimajući u obzir da li održavanje vrši osoblje na licu mesta ili van organizacije; kada je
neophodno, osetljive informacije treba izbrisati iz opreme, ili treba dovoljno proveriti
osoblje održavanja;
e) treba ostvariti usklađenost sa svim zahtevima koji su nametnuti
politikomosiguranja.
18.2.5. Zaštita izmeštene opreme

Kontrola
Primeniti mehanizme zaštite na izmeštenu opremu, imajući u vidu specifične rizike
pri radu izvan organizacije.
Korišćenje bilo kojeg dela opreme radi procesiranja informacija izvan
prostorijaorganizacije, bez obzira na vlasništvo, treba da odobri menadžment.
Radi zaštite izmeštene opreme treba uzeti u obzir sledeće smernice:
a) opremu i medijume koji se iznose iz prostorija ne treba na javnim mestima
ostavljatibez nadzora; prilikom putovanja prenosive računare treba nositi kao ručni prtljag
izamaskirati kada je to moguće;
b) sve vreme treba se pridržavati uputstva proizvođača o zaštiti opreme, npr., zaštita
odizlaganja jakim elektromagnetskim poljima;
c) kontrole pri radu kod kuće treba utvrditi ocenom rizika, a treba primeniti
kontrolekoje odgovaraju, npr., ormane za dokumentaciju sa zaključavanjem, politiku
praznog stola, kontrolu pristupa računarima i sigurne komunikacije sa ustanovom (videti
takođe ISO/IEC 18028 Mrežna sigurnost);
d) za zaštitu izmeštene opreme treba primeniti adekvatno osiguranje.
Rizici po sigurnost, npr., od oštećenja, krađe i prisluškivanja, mogu značajno varirati
među lokacijama i treba ih uzeti u obzir prilikom utvrđivanja najpogodnijih kontrola.
Ostale informacije
Oprema za procesiranje i skladištenje informacija uključuje sve oblike ličnih računara,
organizatora, mobilnih telefona, smart kartica, papirne ili druge formulare, koji se koriste
pri radu kod kuće ili koji se transportuju izvan normalnog mesta rada.
Više informacija o drugim aspektima zaštite mobilne opreme može se naći u 11.7.1.
18.2.6. Bezbedno rashodovanje ili ponovno korišćenje opreme

Kontrola
Svi delovi opreme koji sadrže medijume za čuvanje podataka treba da budu
provereni, kako bi se osiguralo da svi osetljivi podaci i licencirani softveri budu uklonjeni ili
sigurno prepisani.
Uređaje koji sadrže osetljive informacije treba fizički uništiti ili te informacije treba
uništiti, izbrisati ili preispisati primenom tehnika koje čine originalne informacije
nepovratnim, umesto korišćenja standardnih funkcija brisanja ili formatizovanja.
Ostale informacije
Za oštećene uređaje koji sadrže osetljive podatke može se zahtevati ocenjivanje
rizika kakobi se utvrdilo da li te delove treba fizički uništiti, umesto da se oni pošalju na
popravku ili rashoduju.
Informacije se mogu kompromitovati nepažljivim rashodovanjem ili ponovnim
korišćenjem uređaja (videti takođe 10.7.2).
18.2.7. Izmeštanje imovine

Kontrola
Opremu, informacije ili softver ne treba izmeštati bez prethodnog odobrenja.
a) opremu, informacije ili softver ne treba izmeštati bez prethodnog odobrenja;
b) treba jasno identifikovati zaposlene, izvođače radova i korisnike sa treće strane
koji imaju ovlašćenje da odobre izmeštanje imovine;
42
c) treba postaviti vremenska ograničenja za izmeštanje opreme i proveravati
usklađenost prilikom povratka;
d) kada je neophodno i kada to odgovara, opremu treba zapisivati kada se ona
izmešta i kada se ona vraća.
Ostale informacije
Provere na licu mesta koje se preduzimaju radi otkrivanja nedozvoljenog
izmeštanjaimovine, mogu se takođe sprovoditi radi otkrivanja nedozvoljenih uređaja za
zapisivanje,oružja itd. i sprečavanja njihovog unošenja. Takve provere na licu mesta treba
sprovoditi uskladu sa odgovarajućim zakonima i propisima. Pojedinci treba da su svesni da
se sprovodeprovere na licu mesta, a provere treba sprovoditi samo uz odobrenje koje
odgovara zakonskim i regulativnim zahtevima.
19. Upravljanje komunikacijama i operativnim

radom
19.1. Operativne procedure i odgovornosti

Cilj: Obezbediti ispravno i bezbedno funkcionisanje opreme za obradu informacija.
Treba uspostaviti odgovornosti i procedure za upravljanje i operativni rad svih
sredstava za obradu informacija. Ovo uključuje razvoj odgovarajućih operativnih
procedura.
Treba implementirati razdvajanje dužnosti kada je to pogodno, kako bi se smanjio
rizik odnemarnosti ili namerne zloupotrebe sistema.
19.1.1. Dokumentovane operativne procedure

Kontrola
Operativne procedure treba da su dokumentovane, da se održavaju i da budu
raspoložive svim korisnicima kojima su potrebne.
Za sistemske aktivnosti pridružene sredstvima za procesiranje informacija i
komunikacije treba pripremiti dokumentovane procedure, kao što su procedure za
otpočinjanje izavršetak rada na računaru, za rezervne kopije, za održavanje opreme, za
postupanje samedijumima, za upravljanje prostorijama sa računarima i elektronskom
poštom kao i za bezbednost.
Operativne procedure treba da specificiraju instrukcije za detaljno izvršenje svakog
posla što uključuje:
a) procesiranje i postupanje sa informacijama;
b) izradu rezervnih kopija (10.5);
c) zahteve za vremenski raspored aktivnosti, uključujući uzajamne zavisnosti
sadrugim sistemima, najranije vreme otpočinjanja posla i najkasnije vreme završetka
posla;
d) instrukcije za postupanje sa greškama ili sa drugim vanrednim stanjima, koja mogu

da nastanu tokom izvršavanja posla, uključujući ograničenja u korišćenju sistemskih
pomoćnih funkcija (videti 11.5.4);
e) kontakte za podršku u slučaju neočekivanih operativnih teškoća ili tehničkih
problema;
f) specijalne instrukcije za postupanja sa podacima na izlazu i medijumima, kao što
jekorišćenje specijalnog papira ili upravljanje poverljivim podacima na izlazu, uključujući
procedure za sigurno odbacivanje izlaza iz neuspelih poslova (videti 10.7.2 i 10.7.3);
g) procedure za ponovno pokretanje sistema i oporavak koje se koriste u slučaju
otkazasistema;
h) upravljanje informacijama o tragu provere sistema i sistemskim zapisima
(logovima)(videti 10.10).
Operativne procedure kao i dokumentovane procedure za sistemske aktivnosti, treba
da se tretiraju kao formalni (zvanični) dokumenti a izmene treba da odobri menadžment.
Kada je tehnički to ostvarljivo, informacionim sistemima treba upravljati na dosledan
način, primenom istih procedura, alata i pomoćnih programa.
19.1.2. Upravljanje promenama

Kontrola
Kontrolisati promene na sistemimima i sredstvima za obradu podaaka.
Operativni sistemi i aplikativni softveri treba da budu predmet stroge kontrole
upravljanja promenama. Naročito treba uzeti u obzir sledeće pojedinosti:
a) identifikaciju i zapisivanje značajnijih promena;
b) planiranje i testiranje promena;
c) procenu potencijalnih uticaja, uključujući bezbednosne uticaje takvih
promena;
d) formalno odobrene procedure za predloženih promena;
e) saopštavanje o detaljima promene svim relevantnim osobama;
f) procedure za vraćanje na prethodno stanje, uključujući procedure i
odgovornosti za obustavljanje i oporavljanje od neuspešnih promena i
neočekivanih događaja.
Da bi se obezbedila zadovoljavajuća kontrola svih promena na opremi, softveru ili
procedurama, treba uspostaviti formalne procedure i odgovornosti menadžmenta. Nakon
sprovođenja promena, treba sačuvati zapise audita koji sadrže sve relevantne informacije.
Ostale informacije
Neadekvatna kontrola promena na sistemima i sredstvima za obradu informacija
predstavlja glavni uzrok otkaza sistema ili zaštite. Promene u operativnom okruženju,
posebno prilikom transfera sistema iz faze razvoja u fazu produkcije, mogu uticati na
pouzdanost aplikacija (videti takođe 21.5.1).
44
Promene na operativnim sistemima treba sprovoditi samo gde postoji valjan poslovni
razlog za to, kao što je porast nivoa rizika po sistem. Ažuriranje sistema najnovijim
verzijama operativnog sistema ili aplikacijama nije uvek u poslovnom interesu, jer to
može uneti više ranjivosti i nestabilnosti nego postojeća verzija. Može takođe postojati
potreba za dodatnim obukama, troškovima licenci, podrškom, troškovima održavanja i
dodatnom administracijom, kao i za novim hardverom, naročito u toku faze migracije.
19.1.3. Razdvajanje zaduženja

Kontrola
Razdvojiti dužnosti i područja odgovornosti u cilju redukovanja mogućnosti
neovlašćene ili slučajne izmene ili zloupotrebe imovine organizacije.
Razdvajanje dužnosti je metoda za smanjivanje rizika od slučajnih ili namernih
zloupotrebasistema. Treba obratiti pažnju da nijednom pojedincu ne bude moguće da
pristupa,modifikuje ili koristi imovinu bez ovlašćenja ili uvida. Iniciranje nekog dogaja
treba da budeodvojeno od njegovog autorizovanja. Kod projektovanja kontrola treba
uzeti u obzir mogućnost dosluha.
Male organizacije mogu zaključiti da je razdvajanje dužnosti teško ostvarljivo, ali
princip treba primeniti koliko god je to moguće i praktično ostvarljivo. Kadgod je
razdvajanje teškoostvariti, treba uzeti u obzir i druge kontrole kao što je nadgledanje
aktivnosti, praćenjetragova za proveru i nadzor od strane menadžmenta. Važno je da
provera sigurnosti ostane nezavisna.
19.1.4. Razdvajanje razvojne, testne i operativne opreme

Kontrola
Sredstva za razvoj, ispitivanje i operativni rad treba da budu međusobno razdvojena,
kako bi se smanjili rizici od neovlašćenog pristupa ili promena na operativnom sistemu.
Da bi se sprečili problemi u operativnom radu, treba identifikovati potreban nivo
razdvajanja između produkcionog, ispitnog i razvojnog okruženja (sredine) i
implementirati odgovarajuće kontrole.
Treba uzeti u obzir sledeće pojedinosti:
a) treba definisati i dokumentovati pravila za prenošenje softvera iz razvojnog
statusa u operativni status;
b) razvojni i operativni softver treba da se izvršavaju na različitim sistemima ili
računarskim procesorima, kao i u različitim domenima ili direktorijumima;
c) kompajleri, editori i drugi razvojni alati ili sistemski pomoćni programi ne bi trebalo
da su dostupni iz operativnih sistema ako se to ne zahteva;
d) sistemsko okruženje za ispitivanja treba da što je moguće bliže simulira okruženje
operativnog sistema;
e) korisnici treba da koriste različite korisničke profile za operativne i ispitne sisteme,
a meniji treba da prikazuju odgovarajuće identifikacione poruke kako bi se smanjio rizik
od greške;
f) osetljive podatke ne treba kopirati u sistemsko okruženje za ispitivanje (videti

12.4.2).
Ostale informacije
Aktivnosti razvoja i ispitivanja mogu da izazovu ozbiljne probleme, npr.,
neželjenemodifikacije datoteka ili sistemskog okruženje, ili otkaz sistema. U tom slučaju
postojipotreba da bi se održalo poznato i stabilno okruženje u kojem treba vršiti
smislenaispitivanja i da bi se sprečio neodgovarajući pristup razvojnog projektanta.
Tamo gde osoblje za razvoj i ispitivanja ima pristup operativnom sistemu i njegovim
informacijama, ono može imati mogućnost uvođenja neodobrenog i neisprpobanog koda
ili menjanja operativnih podataka. U nekim sistemima ova mogućnost se može
zloupotrebitiza pronevere, ili za uvođenje neproverenih ili malicioznih kodova, koji mogu
da izazovu ozbiljne probleme u operativnom radu.
Projektanti razvoja i ispitivači takođe predstavljaju pretnju poverljivosti
operativnihinformacija. Razvojne aktivnosti i aktivnosti ispitivanja mogu prouzrokovati
neželjene promene softvera ili informacija ukoliko zajednički koriste isto računarsko
okruženje. Zbogtoga je poželjno međusobno razdvajanje sredstava za razvoj, ispitivanje i
operativni rad,kako bi se smanjio rizik od slučajnih promena ili neovlašćenog pristupanja
operativnomsoftveru i poslovnim podacima (za zaštitu ispitnih podataka videti takođe
12.4.2).
19.2. Upravljanje uslugama treće strane

Cilj: Implementirati i održavati odgovarajući nivo zaštite informacija i pružanja usluga
u skladu sa sporazumima o pružanju usluga treće strane.
Organizacija treba da proverava implementaciju sporazuma, da nadgleda
usklađenost sa sporazumima i da upravlja promenama kako bi osigurala da pružene
usluge ispunjavajusve zahteve dogovorene sa trećom stranom.
19.2.1. Pružanje usluga

Kontrola
Osigurati da u ugovoru o pružanju usluga preko treće strane stoji da treća strana u
operativnom radu primenjuje i održava implementirane kontrole zaštite, definicije i nivoe
pružanja usluga.
Isporuka usluga koje obezbeđuje treća strana treba da obuhvati dogovore o
sigurnosti,definicije usluga i aspekte upravljanja uslugama. U slučaju sporazuma o
korišćenjuspoljnih resursa, organizacija treba da planira neophodno prelaženje
(informacija,sredstava za procesiranje informacija i svega ostalog što treba preseliti), i
treba da osigura da se tokom perioda prelaza sigurnost održava.
Organizacija treba da osigura da treća strana održava dovoljne sposobnosti za
davanje usluga zajedno sa radnim planovima koji su projektovani da se osigura da se
dogovoreninivoi kontinuiteta usluživanja održe posle većih otkaza usluge ili katastrofe
(videti 14.1).
46
19.2.2. Monitoring i revizija usluga treće strane
Kontrola
Redovno nadgledati i preispitivati usluge, izveštaje i zapise koje obezbeđuje treća
strana i regularno sprovoditi audit.
Nadgledanje i preispitivanje usluga treće strane treba da osigura da se poštuju uslovi
sporazuma u vezi sigurnosti informacija, kao i da se sa incidentima i problemima
narušavanja sigurnosti upravlja na odgovarajući način. Ovo treba da obuhvati vezu i
proces u upravljanjanju uslugama između organizacije i treće strane kako bi se:
a) nadgledali nivoi performansi usluga radi provere pridržavanja sporazuma;
b) preispitivali izveštaji o uslugama koje izrađuje treća strana i dogovarali
redovnisastanci o napretku posla, kako je to zahtevano u sporazumima;
c) obezbedile informacije u vezi incidenata narušavanja sigurnosti informacija i
preispitivanje tih informacija kod treće strane i u organizaciji kao što je
zahtevanosporazumima kao i bilo kojim smernicama i procedurama podrške;
d) preispitivali tragovi provere i zapisa o događajima u vezi sigurnosti kod treće
strane, operativnim problemima, otkazima, praćenju neispravnosti i smetnjama u vezi
isporučenih usluga;
e) razrešavali bilo koji identifikovani problemi i njima upravljalo.
Odgovornosti za upravljanje odnosima sa trećom stranom treba dodeliti određenom
pojedincu ili timu za upravljanje uslugama. Pored toga, organizacija treba da osigura da
treća strana dodeli odgovornosti za proveru usklađenosti i sprovođenje zahteva
izsporazuma. Da bi se nadgledalo da li su ispunjeni zahtevi iz sporazuma (videti 6.2.3),
posebno zahtevi za sigurnost informacija, treba obezbediti dovoljna tehnička znanja
iresurse. Treba preduzeti odgovarajuću akciju kada se zapaze nedostaci u isporuci usluge.
Organizacija treba da održava dovoljnu sveukupnu kontrolu i uvid u sve aspekte
sigurnosti osetljivih ili kritičnih informacija ili sredstava za procesiranje informacija kojima
treća strana pristupa, koje procesira ili kojima upravlja. Organizacija treba da osigura da
će zadržati uvid u sigurnosne aktivnosti kao što su upravljanje promenama,
identifikovanjeranjivosti, kao i izveštavanje/odziv na incidente narušavanja sigurnosti
informacija kroz jasno definisan proces, formu i strukturu izveštavanja.
Ostale informacije
U slučaju korišćenja spoljnih (ili izmeštenih) resursa, organizacija treba da je svesna
dakrajnja odgovornost za informacije koje se procesiraju kod spoljnog partnera ostaje na
organizaciji.
19.2.3. Upravljanje promenama usluga treće strane

Kontrola
Upravljati promenama pružanja usluga, uključujući održavanje i unapređivanje
postojećih politika zaštite informacija, procedura i kontrola, uzimajući u obzir kritičnost
poslovnih sistema i procesa koji su uključeni u ponovnu procenu rizika.
Uputstvo za implementaciju Postupak upravljanja promenama usluga sa treće strane

treba da uzme u obzir sledeće:
a) promene koje uvodi organizacija radi implementacije:
1) proširenja tekućih usluga koje se nude;
2) razvoja bilo kojih novih aplikacija i sistema;
3) modifikacije ili ažuriranja politika i procedura organizacije;
4) novih kontrola kako bi se razrešili incidenti narušavanja sigurnosti informacija
ipoboljšala sigurnost;
b) promene na uslugama treće strane radi implementacije:
1) promena i proširenja mreža;
2) korišćenja novih tehnologija;
3) usvajanja novih proizvoda ili novijih verzija/izdanja;
4) novih razvojnih alata i okruženja;5) promena fizičke lokacije sredstava za pružanje
usluga;
6) promene prodavaca.
19.3. Planiranje i prihvatanje sistema

Cilj: Minimizirati rizike od otkaza sistema.
Da bi se osigurala raspoloživost odgovarajućih kapaciteta i resursa radi dobijanja
zahtevanih performansi sistema, zahtevaju se planiranje i pripreme unapred.
Da bi se smanjio rizik od preopterećenja sistema, treba sagledati projekcije zahteva
za kapacitete u budućnosti.
Pre prihvatanja i korišćenja novih sistema treba uspostaviti zahteve za
njihovuoperativnost, treba ih dokumentovati i ispitati.
19.3.1. Upravljanje kapacitetom

Kontrola
Korišćenje resursa treba nadgledati, podešavati i projektovati zahteve za buduće
kapacitete, kako bi se osigurale zahtevane performanse sistema.
Za svaku novu i tekuću aktivnost, treba identifikovati zahteve za kapacitetom. Da bi
seosigurala i, gde je to neophodno, poboljšala raspoloživost i efikasnost sistema, treba
primeniti podešavanje i nadgledanje sistema. Da bi se pravovremeno ukazalo na
probleme, treba postaviti kontrole za njihovo otkrivanje. Projekcije budućih zahteva za
kapacitettreba da uzmu u obzir nove poslovne i sistemske zahteve kao i tekuće i
projektovane trendove u sposobnostima procesiranja informacija u organizaciji.
Posebnu pažnju treba obratiti na bilo koje resurse sa dugim vremenom nabavke ili
savisokim troškovima; stoga rukovodioci treba da nadgledaju korišćenje ključnih
48
sistemskih resursa. Oni treba da identifikuju trendove u korišćenju, posebno u vezi sa
poslovnimaplikacijama ili sistemskim alatima za upravljanje informacijama.
Rukovodioci treba da koriste ove informacije da bi identifikovali i izbegli potencijalna
uska grla i zavisnost od ključnog osoblja, što može predstavljati pretnju po sigurnost
sistema iliusluga, i da bi planirali odgovarajuću akciju.
19.3.2. Prihvatanje sistema

Kontrola
Uspostaviti kriterijume za prihvatanje novih informacionih sistema, poboljšanja i
novih verzija, a pre preuzimanja, tokom razvoja, na sistemu sprovesti odgovarajuća
ispitivanja.
Rukovodioci treba da osiguraju da su zahtevi i kriterijumi za prihvatanje novih
sistema jasno definisani, usaglašeni, dokumentovani i ispitani. Novi informacioni sistemi,
poboljšanja i nove verzije treba da pređu u proizvodnju tek nakon dobijanja zvaničnog
prihvatanja. Pre izdavanja formalnog prihvatanja treba uzeti u obzir sledeće stavke:
a) zahteve za performanse i kapacitete računara;
b) procedure oporavka od grešaka i procedure ponovnog puštanja u rad, sa
planovima za postupanje u nepredviđenim situacijama;
c) pripremu i ispitivanje rutinskih operativnih procedura prema definisanim
standardima;
d) primenjen skup dogovorenih bezbednosnih kontrola;
e) uspostavljene manuelne procedure;
f) planove za kontinuitet poslovanja, (videti 14.1);
g) dokaze da instalacija novog sistema neće nepovoljno uticati na postojeće sisteme,
posebno u periodima najintenzivnijeg procesiranja, kao što je to krajem meseca;
h) dokaze da je uzet u obzir uticaj novog sistema na ukupnu sigurnost u organizaciji;
i) obuka za operativni rad ili za korišćenje novih sistema;
j) lakoća korišćenja, jer se time utiče na performanse korisnika i izbegavaju ljudske
greške.
Kod većih novih razvoja, u svim fazama razvojnog procesa treba konsultovati
korisnike ioperativne funkcije kako bi se osigurala operativna efikasnost predloženog
projekta sistema. Treba sprovesti odgovarajuća ispitivanja kako bi se potvrdilo da su svi
kriterijumiza prihvatanje u potpunosti zadovoljeni.
Ostale informacije
Prihvatanje može da uključi formalne procese sertifikacije i akreditacije kako bi se
verifikovalo da su zahtevi za sigurnost na odgovarajući način uzeti u obzir.
19.4. Zaštita od malicioznih i mobilnih kodova

Cilj: Zaštititi integritet softvera i informacija.
Potrebne su mere opreza kako bi se sprečilo i otkrilo uvođenje malicioznog koda i

neautorizovanog mobilnog koda.
Softver i sredstva za procesiranje informacija su ranjivi u odnosu na uvođenje
malicioznogkoda, kao što su računarski virusi, mrežni crvi, Trojanski konji i logičke bombe.
Korisnike treba upoznati sa opasnostima od malicioznog koda. Menadžment treba, gde to
odgovara, da uvede posebne kontrole za sprečavanje, otkrivanje i uklanjanje malicioznog
koda i da kontroliše mobilni kod.
19.4.1. Kontrole protiv malicioznih kôdova

Kontrola
Za zaštitu od malicioznog kôda treba implementirati kontrole za otkrivanje,
sprečavanje i oporavak i odgovarajuće procedure upozoravanja korisnika.
Zaštita od malicioznih kôdova treba da se bazira na softverima za detekciju i
oporavak od malicioznih kôdova, svesti o potrebi zaštite i odgovarajućim kontrolama
upravljanja promenama. Treba uzeti u obzir sledeće smernice:
a) uspostavljanje formalne politike kojom se zabranjuje korišćenje
neautorizovanih softvera (videti 24.1.2);
cccccc) uspostavljanje formalne politike radi prevencije od rizika koji mogu
nastati usled preuzimanja fajlova i softvera sa eksternih mreža, ili nekog
drugog medijuma, ukazujući koje zaštitne mere treba preduzeti;
dddddd) sprovođenje redovnih revizija softvera i sadržaja podataka sistema
koji podržavaju kritičnie poslovne procese; prisustvo bilo kakvih neodobrenih
fajlova ili neautorizovanih dopuna treba formalno istražiti;
eeeeee) instalaciju i redovno ažuriranje softvera za otkrivanje i oporavak od
malicioznog kôda radi skeniranja računara i medijuma kao kontrolu
predostrožnosti, ili kao rutinsku praksu; provere koje se sprovode treba da
obuhvate:
1) proveru na malicozni kôd svih fajlova na elektronskim ili optičkim
medijumima i fajlova primljenih preko mreža, pre njihovog
korišćenja;
2) proveru na maliciozni kôd svih sadržaja u prilozima e-mail poruka i
download-a, pre njihovog korišćenja; ovu proveru treba sprovoditi na
različitim mestima, npr., na mail serverima, desktop računarima i
prilikom ulaska u mrežu organizacije;
3) proveru web stranica na maliciozni kôd;
ffffff) definisanje upravljačkih procedura i odgovornosti za postupanje sa
zaštitom od malicioznog kôda u sistemima, obuku za njihovo korišćenje,
izveštavanje o napadima i oporavak od napada malicioznih kôdova (videti
22.1 i 22.2);
gggggg) pripremu odgovarajućih planova kontinuiteta poslovanja za
oporavak od napada malicioznog kôda, uključujući sve neophodne podatke i
softvere u planove za back-up i oporavak (videti 23);
50
hhhhhh) implementiranje procedura za redovno prikupljanje informacija,
kao što je pretplata na mailing listu i/ili pregled web sajtova koji nude
informacije o novim malicioznim kodovima;
iiiiii) implementacija procedura za verifikovanje informacija koje se odnose na
maliciozne kôdove i osiguravanje da upozoravajući bilteni budu tačni i
informativni; rukovodioci treba da obezbede kvalifikovane izvore, npr.,
ugledne izdavače, pouzdane internet sajtove ili dobavljače softvera za zaštitu
od malicioznih kôdova, koji prave razliku između lažnog i pravog malicioznog
koda; svi korisnici treba da su svesni problema pojave lažnih (šaljivih) virusa i
da znaju šta da rade nakon njihovog prijema.
Ostale informacije
Korišćenje dva ili više različitih proizvođača softverskih proizvoda za zaštitu od
malicioznih kôdova, koji štite celo okruženje za obradu informacija, može poboljšati
efektivnost zaštite od malicioznih kôdova.
Da bi se osiguralo da zaštita bude ažurna, softver za zaštitu od malicioznih kôdova
podesiti na automatsko ažuriranje definicija poznatih malicioznih kôdova i automatsko
skeniranje mašina. Pored toga, ovakav softver se može instalirati na svaki desktop računar
i podesiti da vrši automatske provere.
Za vreme održavanja i sprovođenja procedura za vanredne događaje treba se čuvati
od predstavljanja malicioznih kôdova, jer tada neki kôdovi mogu da premoste normalne
kontrole zaštite malicioznih kôdova.
19.4.2. Kontrole mobilnih kôdova

Kontrola
Gde je korišćenje mobilnog kôda dozvoljeno, konfiguracija mora osigurati da
odobreni mobilni kôd radi u skladu sa jasno definisanom politikom zaštite, a treba da
bude sprečeno izvršavanje neodobrenog mobilnog kôda.
Za zaštitu od neodobrenog izvršenja mobilnog kôda treba uzeti u obzir sledeće
aktivnosti:
a) izvršavanje mobilnog kôda u logički izdvojenom okruženju;
b) blokiranje bilo kakvog korišćenja mobilnog kôda;
c) blokiranje prijema mobilnog kôda; i
d) aktiviranje tehničkih mera raspoloživih na nekom posebnom sistemu kako bi se
osigurala kontrola nad mobilnim kôdom;
e) kontrola resursa koji su na raspolaganju mobilnom kôdu;
f) kriptografske kontrole za jedinstveno utvrđivanje verodostojnosti mobilnog kôda.
Ostale informacije
Mobilni kôd predstavlja takav softver koji se prenosi sa jednog računara na drugi gde
se onizvršava automatski i obavlja neku specifičnu funkciju, bez ili uz malo uzajamnog
rada sakorisnikom. Mobilni kôd se vezuje uz više posredničkih usluga.
Pored osiguranja da mobilni kôd ne sadrži maliciozni kôd, kontrola nad mobilnim
kôdom jeod suštinskog značaja za izbegavanje neovlašćenog korišćenja ili narušavanja
sistema,mreža, ili aplikacionih resursa i drugih kršenja sigurnosti informacija.
19.5. Rezervne kopije (Back-up)

Cilj: Održavati integritet i raspoloživost informacija i opreme za obradu informacija.
Treba uspostaviti rutinske procedure za implementiranje dogovorene politike i
strategiječuvanja rezervnih kopija (videti takođe 14.1) radi izrade rezervnih kopija
podataka iisprobavanja njihovog pravovremenog obnavljanja.
19.5.1. Rezervne kopije informacija

Kontrola
Rezervne kopije informacija i softvera treba regularno sprovoditi i testirati, u skladu
sa dogovorenom backup politikom.
Treba obezbediti adekvatna sredstva za back-up, koja će obezbediti da sve ključne
informacije i softveri budu oporavljeni nakon katastrofe ili otkaza medijuma.
Za back-up informacija treba uzeti u obzir sledeće stavke:
a) treba definisati potreban nivo rezervnih kopija informacija;
jjjjjj) treba izraditi tačne i potpune popise rezervnih kopija i dokumentovane
procedure za njihovo obnavljanje;
kkkkkk) obim (npr., puni ili delimični back-up) i periodičnost backup-a
treba da odražavaju poslovne zahteve organizacije, bezbednosne zahteve
obuhvaćenih informacija i kritičnost tih informacija po neprekidnost
poslovanja organizacije;
llllll) backup-e treba skladištiti na udaljenoj lokaciji, na dovoljnoj udaljenosti,
kako bi se izbeglo bilo kakvo oštećenje od katastrofe na glavnoj lokaciji;
mmmmmm) za back-up informacije treba dodeliti odgovarajući nivo fizičke
zaštite i zaštite od uticaja okoline (videti 18), koja je u skladu sa standardima
koji primenjenim na glavnoj lokaciji; kontrole koje su primenjene na
medijume na glavnoj lokaciji treba proširiti tako da obuhvate i back-up
lokaciju;
nnnnnn) back-up medijume treba redovno testirati, kako bi se osiguralo da
se na njih može osloniti u vanrednim situacijama;
oooooo) procedure za rekonstrukciju backup-a treba redovno proveravati i
ispitivati, kako bi se održavala njihova efektivnost i da mogu do kraja da se
sprovedu u okviru vremena predviđenog u operativnim procedurama za
oporavak;
pppppp) u situacijama gde je važna poverljivost, backup-e treba zaštititi
šifrovanjem.
Back-up strategiju individualnih sistema treba redovno testirati, kako bi se osiguralo
da oni ispunjavaju zahteve planova za kontinuitet poslovanja (videti odeljak 23). Back-up
52
strategija kritičnih sistema treba da obuhvati sve sistemske informacije, aplikacije i
podatke koji su neophodni za oporavak celokupnog sistema u slučaju katastrofe.
Treba utvrditi vremenski period čuvanja ključnih poslovnih informacija i sve zahteve
za arhiviranje kopija koje treba trajno čuvati (videti 24.1.3).
Ostale informacije
Da bi se olakšao proces izrade backup-a i restauracije, postupci se mogu
automatizovati. Takva automatizovana rešenja treba detaljno ispitati pre njihove
implementacije, kao i u redovnim intervalima nakon implementacije.
19.6. Upravljanje zaštitom mreže

Cilj: Obezbediti zaštitu informacija u mrežama i infrastrukturi zaštite.
Sigurno upravljanje mrežama, koje mogu da se protežu van granica organizacije,
zahteva pažljivo razmatranje tokova podataka, zakonskih posledica, nadgledanje i zaštitu.
Da bi se zaštitili podaci koji prolaze kroz javne mreže, mogu biti potrebne dodatne
kontrole.
19.6.1. Kontrole mreže

Kontrola
Mrežama treba adekvatno upravljati i kontrolisati ih, kako bi se one zaštitile od
pretnji, kao i da bi se održala bezbednost sistema i aplikacija koje mrežu koriste,
uključujući informacije u tranzitu.
Rukovodioci mreža treba da implementiraju kontrole da bi se u mrežama osigurala
sigurnost informacija i uključenih usluga od neovlašćenog pristupanja. Posebno, treba
uzeti u obzir sledeće stavke:
a) treba razdvojiti, gde to odgovara, odgovornost za rad mreže od rada računara
(videti 10.1.3);
b) treba uspostaviti odgovornosti i procedure za upravljanje izmeštenim
uređajima, uključujući uređaje u prostoriji korisnika;
c) treba uspostaviti posebne kontrole za odbranu poverljivosti i integriteta
podatakakoji prolaze preko javnih mreža ili bežičnih mreža, kao i radi zaštite
priključenih sistema i aplikacija (videti 11.4 i 12.3); mogu takođe biti
potrebne posebne kontrole za održanje raspoloživosti mrežnih usluga i
priključenih računara;
d) treba primeniti odgovarajuće prijavljivanje (log) i nadgledanje kako bi se
omogućilo zapisivanje akcije u vezi sigurnosti;
e) aktivnosti upravljanja treba da budu usko koordinisane kako radi
optimizovanjausluga organizaciji tako i radi osiguravanja da kontrole budu
dosledno primenjene kroz infrastrukturu za obradu informacija.
Ostale informacije
Dodatne informacije o sigurnosti u mrežama mogu se naći u standardu ISO/IEC
18028 Informacione tehnologije - Tehnike sigurnosti - Sigurnost u IT mrežama.
19.6.2. Servisi zaštite mreža

Kontrola
Identifikovati bezbednosne karakteristike, nivoe servisa i upravljanje zahtevima za
mrežne servise i uključiti ih u ugovore za servisiranje mreža, bilo da ove servise
obezbeđuje organizacija ili davaoc mrežnih usluga.
Treba utvrditi i redovno nadgledati sposobnost davaoca mrežnih usluga da na
siguran način upravlja dogovorenim servisima, kao i pravo na proveru.
Treba identifikovati postavke sigurnosti neophodne kod pojedinih usluga, kao što
sukarakteristike zaštite, nivoi usluga i zahtevi za upravljanje. Organizacija treba da
osigurada davaoci mrežnih usluga implementiraju ove mere.
Ostale informacije
Mrežne usluge obuhvataju obezbeđivanje priključaka, usluge na privatnim mrežama,
i mreže sa dopunjenim funkcijama kao i upravljanje rešenjima sigurnosti kao što su
zaštitnepregrade i sistemi za otkrivanje upada. Ove usluge se mogu protezati od prostih u
kojima nema upravljanja do složenih sa ponudom dodatnih funkcija.
Karakteristike sigurnosti mrežnih usluga mogu da budu:
a) tehnologija koja se primenjuje za sigurnost mrežnih usluga kao što su
utvrđivanje i provera verodostojnostii, šifrovanje i kontrole mrežnih
priključaka;
b) tehnički parametri potrebni za sigurno priključivanje na mrežne usluge u
skladu sapravilima za sigurnost i priključivanje na mrežu;
c) procedure korišćenja mrežnih usluga da bi se ograničio pristup mrežnim
uslugamaili aplikacijama, gde je to potrebno.
19.7. Rukovanje medijumima

Cilj: Onemogućiti neovlašćeno otkrivanje, modifikaciju, uklanjanje ili uništenje
imovine, i ometanje poslovanja.
Medijumi treba da se kontrolišu i da se fizički štite.
Treba uspostaviti odgovarajuće operativne procedure za zaštitu dokumenata,
računarskih medijuma (npr., traka, diskova), ulazno/izlaznih podataka i sistemske
dokumentacije od neovlašćenog objavljivanja, modifikovanja, uklanjanja i uništenja.
19.7.1. Upravljanje prenosivim medijumima

Kontrola Treba da postoje procedure postupanja sa prenosivim medijumima.
Uputstvo za implementaciju Treba uzeti u obzir sledeće smernice za upravljanje
prenosivim medijumima:
a) kada više nije potreban, sadržaj bilo kojeg medijuma koji se može ponovo koristiti
ikoji će se iznositi izvan organizacije treba da se učini nepovratno izbrisanim;
54
b) za sve medijume koji se iznose iz organizacije, kada je to neophodno i
izvodljivo,treba zahtevati odobrenje, a o svim takvim iznošenjima treba sačiniti zapis kako
bi se sačuvao trag za proveru.
c) sve medijume treba skladištiti na bezbednom i zaštićenom mestu, u skladu sa
specifikacijama proizvođača;
d) informacije za koje je potrebna dostupnost u preriodu dužem od veka
trajanjamedijumima na kojem se one čuvaju (prema specifikacijama proizvođača),
trebatakođe skladištiti na nekom drugom mestu kako bi se izbegao gubitak
informacijausled starenja medijuma;
e) da bi se ograničila mogućnost gubljenja podataka treba predvideti registrovanje
prenosivih medijuma;
f) pogonske jedinice prenosivih medijuma treba aktivirati samo ako za to postoji
poslovna potreba.
Sve procedure i nivoi odobrenja treba da su jasno dokumentovani.
Ostale informacije
Prenosivi medijumi obuhvataju trake, diskove, fleš diskove, prenosive čvrste diskove,
CD, DVD i otštampane medijume.
19.7.2. Rashodovanje medijuma

Kontrola
Medijume, kada više nisu potrebni, treba rashodovati na siguran i bezbedan način,
primenom formalnih procedura.
Formalne procedure za sigurno rashodovanje medijuma treba da na minimum svedu
rizik da osetljive informacije dođu do neovlašćenih osoba. Ove procedure za sigurno
rashodovanjemedijuma koji sadrže osetljive informacije treba da su primerene osetljivosti
tih informacija. Treba uzeti u obzir sledeće stavke:
a) medijume koji sadrže osetljive informacije treba čuvati i rashodovati na siguran i
bezbedan način, npr., spaljivanjem ili kidanjem, ili brisanjem podataka radi korišćenja u
nekom drugom aplikativnom programu unutar organizacije;
b) treba uspostaviti procedure za identifikovanje stavki za koje će možda biti
potrebnosigurno rashodovanje;
c) može biti lakše da se organizuje da se, umesto pokušaja da se osetljivi elementi
izdvoje, svi elementi medijuma sakupe zajedno i sigurno rashoduju;
d) mnoge organizacije nude usluge prikupljanja i rashodovanja za papire, uređaje
imedijume; treba obratiti pažnju da se odabere pogodan ugovarač sa odgovarajućim
kontrolama i iskustvom;
e) rashodovanje osetljivih elemenata treba gde je moguće zapisivati kako bi se
sačuvao trag za proveru.
Prilikom sakupljanja medijuma za rashodovanje, treba uzeti u obzir efekat
nagomilavanja, koji može dovesti do toga da velika količina nevažnih informacija postanu
osetljive.
Ostale informacije
Nebrižljivim rashodovanjem medijuma mogu se razotkriti osetljive informacije
(videtitakođe 9.2.6 za informacije o rashodovanju opreme).
19.7.3. Procedure za postupanje sa informacijama

Kontrola
Uspostaviti procedure za postupanje sa informacijama i njihovo čuvanje, kako bi se
one zaštitile od neovlašćenog otkrivanja ili zloupotreba.
Uputstvo za implementaciju Procedure za postupanje sa informacijama, njihovu
obradu, čuvanje i razmenjivanje treba sačiniti tako da budu dosledne sa stepenom njihove
klasifikovanosti (videti 7.2). U obzir treba uzeti sledeće stavke:
a) postupanje sa i stavljanje oznaka na sve medijume u skladu sa nivoom njihove
klasifikovanosti;
b) ograničenja pristupa kako bi se sprečio pristup neovlašćenom osoblju;
c) održavanje zvaničnog zapisa o ovlašćenim primaocima podataka;
d) osiguravanje da su ulazni podaci kompletni, da se procesiranje u potpunosti
dovršava i da se primenjuje validacija na izlazu;
e) zaštita nakupljenih podataka koji čekaju na izlaz, na nivou koji je u skladu sa
njihovom osetljivošću;
f) skladištenje medijuma u skladu sa specifikacijama proizvođača;
g) svođenje distribuiranja podataka na minimum;
h) jasno označavanje svih kopija podataka koje se upućuju ovlašćenom primaocu;
i) preispitivanje, u redovnim intervalima, spiskova za distribuiranje i spiskova
ovlašćenih primalaca.
Ostale informacije
Ove procedure se primenjuju na informacije u dokumentima, sistemima za
izračunavanje,mrežama, mobilnom izračunavanju, mobilnim komunikacijama, pošti,
govornoj pošti, govornim komunikacijama u opštem smislu, multimedijumima,
poštanskimuslugama/sredstvima, korišćenju uređaja za faksimil i svim drugim osetljivim
elementima, npr., nepopunjenim čekovima i fakturama.
19.7.4. Zaštita sistemske dokumentacije

Kontrola
Sistemsku dokumentaciju treba zaštititi od neovlašćenog pristupa.
Da bi sistemska dokumentacija bila sigurna treba predvideti sledeće stavke:
a) sistemsku dokumentaciju treba čuvati na sigurnom;
b) spisak pristupanja sistemskoj dokumentaciji treba da je što uži i treba da ga
autorizuje vlasnik aplikacije;
56
c) sistemska dokumentacija koja je stavljena na javnu mrežu, ili koja se dostavlja
preko javne mreže, treba da bude odgovarajuće zaštićena.
Ostale informacije
Sistemska dokumentacija može sadržati niz osetljivih informacija, npr., opise
aplikativnih procesa, procedure, strukture podataka, procese autorizacije.
19.8. Razmena informacija

Cilj: Održavati bezbednost informacija i softvera razmenjivanih unutar organizacije i
sa spoljnjim entitetima.
Razmenjivanje informacija i softvera među organizacijama treba da se zasniva na
zvaničnojpolitici razmene, koja se sprovodi u skladu sa sporazumima o razmeni, i koja
treba da bude u skladu sa odgovarajućom pravnom regulativom (videti 15).
Treba uspostaviti procedure i standarde za zaštitu informacija i fizičkih medijuma koji
su u tranzitu.
19.8.1. Politike i procedure kod razmene informacija

Kontrola
Da bi se, tokom korišćenja svih tipova komunikacionih sredstava, razmena
informacija zaštitila, treba uspostaviti zvaničnu politiku, procedure i kontrole za
razmenjivanje.
Prilikom korišćenja sredstava elektronskih komunikacija za razmenjivanje
informacija,treba se pridržavati procedura i kontrola koje treba da uzmu u obzir sledeće
stavke:
a) procedure projektovane tako, da se informacije koje se razmenjuju zaštite od
prisluškivanja, modifikovanja, pogrešnog usmeravanja i uništenja;
b) procedure za otkrivanje i zaštitu od malicioznog kôda koji se može preneti
korišćenjem elektronskih komunikacija (videti 10.4.1);
c) procedure za zaštitu osetljivih elektronskih informacija koje se razmenjuju vezane
uz druge sadržaje;
d) politika ili smernice koje opisuju dozvoljeno korišćenje elektronskih
komunikacionih sredstava (videti 7.1.3);
e) procedure za korišćenje bežičnih komunikacija, uzimajuću u obzir uključene
posebne rizike;
f) odgovornosti zaposlenih, izvođača radova i drugih korisnika da neće
kompromitovati organizaciju, npr., klevetama, uznemiravanjem, glumljenjem,
prosleđivanjem lančanih pisama, neovlašćenim kupovanjem itd.;
g) korišćenje kriptografskih tehnika npr., za zaštitu poverljivosti, integriteta i
verodostojnosti informacija (videti 12.3);
h) uputstva za zadržavanje i odbacivanje celokupne poslovne prepiske, uključujući

poruke, u skladu sa odgovarajućim nacionalnim ili lokalnim zakonodavstvom i
regulativom;
i) da se osetljive ili kritične informacije ne ostavljaju na uređajima za štampanje, npr.,
na mašinama za kopiranje, na štampačima i uređajima za faksimil, jer njima mogu
pristupati neovlašćene osobe;
j) kontrole i ograničenja u vezi prosleđivanja preko komunikacionih sredstava, npr.,
automatizovano prosleđivanje elektronske pošte na spoljne adrese;
k) podsećanje osoblja da treba da preduzimaju odgovarajuće mere predostrožnosti,
npr.da ne razotkrivaju osetljive informacije kako bi se izbeglo da prilikom telefoniranja
njih čuju ili prisluškuju:
1) ljudi u neposrednoj blizini, naročito kod korišćenja mobilnih telefona;
2) prisluškivanje na vodovima i drugi oblici prisluškivanja fizičkim pristupom do
telefonske slušalice ili telefonskom vodu, ili korišćenjem prijemnika sa pretraživanjem;
3) ljudi na prijemnoj strani;
l) da ne ostavljaju na telefonskim sekretaricama poruke koje sadrže osetljive
informacije jer njih mogu preslušavati neovlašćene osobe, mogu biti sačuvane na javnim
sistemima ili greškom sačuvane pogrešnim biranjem;
m) podsećanje osoblja na probleme korišćenja mašina za faksimil, naime:
1) neovlašćeno pristupanje ugrađenim kutijama za čuvanje poruka radi pregledanja
poruka;
2) namerno ili slučajno programiranje mašina da poruke šalju na određene brojeve;
3) slanje dokumenata i poruka na pogrešan broj pogrešnim biranjem broja ili
primenom zapamćenog pogrešnog broja;
n) potsećanjem osoblja da ne upisuju demografske podatke, kao što su adresa
elektronske pošte ili drugi podaci o ličnosti, u bilo koji softver, kako bi se izbeglo
prikupljanje radi neovlašćenog korišćenja;
o) potsećanjem osoblja da moderne mašine za faksimil i kopiranje imaju memoriju za
pamćenje sadržaja stranica u slučaju greške u prenosu ili sa papirom, koje se štampaju
kada se greška otkloni.
Pored toga, osoblje treba potsetiti da poverljive razgovore ne vode na javnim
mestima ili pootvorenim kancelarijama i na mestima za sastanke koja nemaju zvučnu
izolaciju zidova.
Sredstva za razmenu informacija treba da su u skladu sa odgovarajućim zakonskim
zahtevima (videti 15).
Ostale informacije
Razmena informacija se može odvijati korišćenjem više različitih tipova
komunikacionih sredstava, uključujući elektronsku poštu, govor, faksimil i video uređaje.
Razmena softvera može se odvijati preko više različitih medijuma, uključujući
preuzimanje sa mreže Internet i kupovinom od prodavca u obliku gotovog proizvoda.
58
Treba razmotriti poslovne, zakonske i sigurnosne posledice u vezi elektronske
razmenepodataka, elektronske trgovine i elektronskih komunikacija i razmotriti potrebe
za kontrolama.
Informacije se mogu kompromitovati usled nepoznavanja politike ili procedura za
korišćenje sredstava za razmenu informacija, npr., putem prisluškivanja razgovora sa
mobilnog telefona na javnom mestu, pogrešnog usmeravanja poruke elektronske pošte,
preslušavanjem telefonske sekretarice, neovlašćenim pristupanjem sistemima za govorne
poruke sa biranjem, ili slučajnim slanjem poruke faksimila pogrešnom uređaju za faksimil.
Poslovne operacije mogu biti prekinute a informacije mogu biti kompromitovane ako
komunikaciona sredstva otkažu, ako se preopterete ili ako se njihov rad prekine (videti
10.3 i 14). Informacije se mogu kompromitovati ako im pristupe neovlašćeni korisnici
(videti 11).
19.8.2. Sporazumi o razmeni

Kontrola
Između organizacija i spoljnih strana treba uspostaviti ugovore o razmeni informacija
i softvera.
Sporazumi o razmeni treba da uzmu u obzir sledeće uslove sigurnosti:
qqqqqq) odgovornosti menadžmenta za kontrolisanje i obaveštavanje o
transmisiji, slanju i prijemu;
rrrrrr) procedure za obaveštavanje pošiljaoca o transmisiji, slanju i prijemu;
ssssss)procedure koje omogućavaju mraćenje i neporecivost;
tttttt) minimalne tehničke standarde za pakovanje i transmisiju;
uuuuuu) ugovore o depozitu;
vvvvvv) standarde za identifikovanje kurira;
wwwwww) odgovornosti i obaveze u pojavi bezbednosnih incidenata, poput
gubitka podataka;
xxxxxx) primenu dogovorenog sistema označavanja osetljivih ili kritičnih
informacija, tako da bude trenutno prepoznaljivo i razumljivo, kao i da te
informacije imaju adekvatnu zaštitu;
yyyyyy) vlasništvo i odgovornosi za zaštitu podataka, prava na kopiranje,
usklađenost sa licencom za softver i slična pitanja (videti 24.1.2);
zzzzzz)tehnički standardi i softveri za snimanje i čitanje informacija;
aaaaaaa) sve moguće specijalne kontrole zaštite osetljivih stvari, poput
kriptografskih ključeva (videti 21.3).
Treba uspostaviti i održavati politike, procedure i standarde zaštite informacija i
fizičkih medijuma u tranzitu (videti takođe 19.10.3) i uključiti ih sporazume o razmeni.
Bezbednosna pitanja svakog ugovora treba da odražava osetljivost odnosnih
poslovnih informacija.
Ostale informacije
Sporazumi mogu biti u elektronskom ili pisanom obliku i mogu imati formu zvaničnih
ugovora ili uslova zapošljavnja. Za osetljive informacije koriste se specifični mehanizmi za
razmenu, koji treba da budu konzistentni sa ostalim tipovima sporazuma organizacije.
19.8.3. Fizički medijumi u tranzitu

Kontrola
Medijume koji sadrže informacije treba zaštititi od neovlašćenog pristupa,
zloupotrebe, ili oštećenja prilikom transporta izvan fizičkih granica organizacije.
Da bi se medijumi sa informacijama zaštitili u toku transporta između lokacija, treba
uzetiu obzir sledeće smernice:
a) treba koristiti pouzdani transport ili kurire;
b) sa menadžmentom se treba dogovoriti o spisku ovlašćenih kurira;
c) treba uvesti procedure za proveru identiteta kurira;
d) ambalaža treba da je dovoljna da bi se sadržaj zaštitio od bilo kakvih fizičkih
oštećenja koja bi mogla nastati na putu, u skladu sa bilo kakvim
specifikacijamaproizvođača (npr., za softver), koja npr., štiti protiv svih uticaja okoline koji
bi mogli da smanje efektivnost obnavljanja medijuma kao što je izlaganje vlazi ili
elektromagnetskim poljima;
e) treba uvesti kontrole, gde je neophodno, kako bi se osetljive informacije zaštitile
od neovlašćenog razotkrivanja ili menjanja; primeri obuhvataju:
1) korišćenje zaključanih kutija;
2) lično (ručno) dostavljanje;
3) pakovanje na kojem ostaje trag otvaranja (čime se otkrivaju bilo kakvi pokušaji da
se dobije pristup);
4) u izuzetnim slučajevima, deljenje pošiljke na više isporuka i otpremarazličitim
putevima.
Ostale informacije
Informacije mogu biti ranjive u odnosu na neovlašćeno pristupanje, zloupotrebu ili
oštećenja tokom fizičkog transporta, na primer kada se medijumi šalju putem
poštanskeslužbe ili preko kurira.
19.8.4. Elektronske poruke

Kontrola
Informacije uključene u razmenu elektronskih poruka treba odgovarajuće zaštititi.
Uputstvo za implementaciju Sigurnost u razmeni elektronskih poruka treba da
obuhvati sledeće:
a) zaštitu poruka od neovlašćenog pristupanja, modifikovanja ili odbijanja usluga;
b) osiguranje ispravnog adresiranja i transporta poruke;
c) opštu pouzdanost i raspoloživost usluge;
60
d) zakonske odredbe, na primer zahteve za elektronske potpise;
e) dobijanje odobrenja pre korišćenja javnih spoljnih usluga kao što su razmena
hitnih poruka ili zajedničko korišćenje datoteka;
f) jače nivoe utvrđivanja verodostojnosti, kontrolisanjem pristupa iz mreža sa javnim
pristupom.
Ostale informacije
Elektronska razmena poruka kao što su elektronska pošta, elektronska razmena
podataka (EDI) i razmena hitnih poruka dobijaju ulogu sa rastućim značajem u poslovnim
komunikacijama. Kod razmene elektronskih poruka rizici su drugačiji nego kod
komunikacija koje se zasnivaju na papirima.
19.8.5. Poslovni informacioni sistemi

Kontrola
Razviti i implementirati politike i procedure za zaštitu informacija, koje su u vezi sa
međusobnim povezivanjem poslovnih informacionih sistema.
Razmatranja koja su posvećena sigurnosti i posledicama po poslovanje u
međusobnom povezivanju takvih sredstava treba da obuhvate:
a) poznate ranjivosti u administrativnim i obračunskim sistemima gde informacije
zajednički koriste različiti delovi organizacije;
b) ranjivost informacija u poslovnim komunikacionim sistemima, npr.,
zapisivanjetelefonskih poziva ili konferencijskih poziva, poverljivost poziva,
skladištenjefaksimila, otvaranje pošte, distribuiranje pošte;
c) politiku i odgovarajuće kontrole za upravljanje zajedničkim korišćenjem
informacija;
d) izuzimanje kategorija osetljivih poslovnih informacija i klasifikovanih dokumenata
ukoliko sistem ne obezbeđuje odgovarajući nivo zaštite (videti 7.2);
e) ograničavanje pristupa informacijama iz dnevnika koje se odnose na odabrane
pojedince, npr., na osoblje koje radi na osetljivim projektima;
f) kategorije osoblja, izvođača radova ili poslovnih partnera kojima je odobreno
korišćenje sistema i lokacija sa kojih se njemu može pristupati (videti 6.2 i 6.3);
g) ograničenje odabranih sredstava na specifične kategorije korisnika;
h) identifikovanje statusa korisnika u direktorijumima, npr., zaposlenih u organizaciji
ili izvođača radova, radi pomoći ostalim korisnicima;
i) zadržavanje i izrada rezervnih kopija informacija koje se nalaze u sistemu (videti
10.5.1);
j) zahtevi i planovi za povratak na prethodno stanje (videti 23).
Ostale informacije
Kancelarijski informacioni sistemi pružaju mogućnost za brže širenje i zajedničko
korišćenje poslovnih informacija primenom kombinacije: dokumenata, računara, mobilnih
izračunavanja, mobilnih komunikacija, pošte, govornih poruka, opštih

govornihkomunikacija, multimedijuma, poštanskih usluga/sredstava i uređaja za faksimil.
19.9. Usluge elektronske trgovine

Cilj: Obezbediti zaštitu usluga i korišćenja elektronske trgovine..
Treba uzeti u obzir posledice po sigurnost usluga u elektronskoj trgovini, uključujući
direktne transakcije, kao i zahteve za kontrole. Takođe treba uzeti u obzir integritet
iraspoloživost informacija koje se elektronski objavljuju putem javno dostupnih sistema.
19.9.1. Elektronska trgovina

Kontrola
Informacije u vezi sa elektronskom trgovinom, koje prolaze kroz javne mreže, treba
zaštititi od malverzacija, osporavanja ugovora, neautorizovanog otkrivanja i
modifikovanja.
Razmatranje bezbednosti elektronske trgovine treba da obuhvati sledeće:
a) zahtevani nivo poverenja svih strana u međusobnoj razmeni identita, npr.,
putem autentifikacije;
b) autorizacioni procesi koji se odnose na onoga ko uspostavlja cene, izdaje ili
potpisuje ključne trgovinske dokumente;
c) potpuno informisanje trgovinskih partnera o njihovim autorizacijama;
d) određivanje i ispunjavanje zahteva za poverljivost, integritet, potvrdu
otpreme i prijema ključnih dokumenata i neporecivosti ugovornih obaveza,
npr., u vezi sa tenderima i procesima ugovaranja;
e) zahtevani nivo poverenja u integritet oglašenih cenovnika;
f) poverljivost bilo kojih osetljivih podataka ili informacija;
g) poverljivost i integritet bilo kojih transakcija porudžbina, informacija o
plaćanju, detalja o adresi isporuke i potvrdi prijema;
h) stepen verifikovanja koji je odgovarajući da bi se proverila informacija o
plaćanjukoju je dostavio kupac;
i) izbor najpogodnije forme plaćanja koja će preduprediti prevare;
j) zahtevani nivo zaštite koji će obezbediti poverljivost i integritet informacija iz
porudžbine;
k) izbegavanje gubitaa ili dupliranja transakcionih informacija;
l) odgovornost za malverzacije u transakcijama;
m) zahtevi za osiguravanje.
Mnoga od navedenih razmatranja mogu se obuhvatiti primenom kriptografskih
kontrola (videti 21.3), uzimajući u obzir usklađenost sa pravnim zahtevima (za pravne
aspekte šifrovanja videti 24.1, a posebno 24.1.6).
Dogovori između partnera u elektronskoj trgovini treba da budu podržani
dokumentovanimsporazumom kojim se obe strane obavezuju na dogovorene uslove
62
trgovanja, uključujući detalje autorizovanja (videti 10.9.1.b). Mogu biti neophodni i drugi
sporazumi sa davaocima informativnih i proširenih mrežnih usluga.
Sistemi za javnu trgovinu treba da svoje uslove poslovanja javno oglase kupcima.
Razmatranje treba usmeriti na elastičnost prema napadu na uslužni sistem (host) koji
se koristi za elektronsku trgovinu, kao i na posledice po sigurnost bilo koje međusobne
veze preko mreže, koja je potrebna za primenu usluga elektronske trgovine (videti
20.4.6).
Ostale informacije
Elektronska trgovina je ranjiva od više mrežnih pretnji koje mogu dovesti do
malverzacija,osporavanja ugovora i razotkrivanja ili modifikovanja informacija.
Elektronska trgovina može da koristi metode za sigurnu proveru verodostojnosti,
npr.korišćenjem kriptografskih postupaka sa javnim ključem i digitalnih potpisa (videti
takođe 12.3) da bi se ti rizici smanjili. Kada su takve usluge potrebne, mogu se takođe
koristiti poverljive treće strane.
19.9.2. On-line transakcije

Kontrola
Informacije koje su sadržane u on-line transakcijama treba zaštititi kako bi se sprečio
nekompletan prenos, pogrešno usmeravanje, neovlašćeno menjanje poruka, neovlašćeno
otkrivanje, neovlašćeno kopiranje poruka ili ponovno emitovanje.
Razmatranje sigurnosti transakcija preko direktne veze treba da uključi sledeće:
a) primenu elektronskih potpisa kod obeju strana koje učestvuju u transakciji;
b) sve aspekte transakcije, tj. uveravanja da su:
1) korisnički akreditivi svih strana valjani i verifikovani;
2) transakcija ostala poverljiva; i
3) da je zadržana privatnost svih strana koje učestvuju;
c) da je na komunikacionom putu između svih strana koje učestvuju
primenjenošifrovanje;
d) da protokoli koji se koriste u komunikacijama među svim stranama koje učestvuju
sadrže sigurnost;
e) osiguranje da se skladištenje detalja iz transakcije sprovodi izvan bilo kojih javno
dostupnih okruženja, npr., na skladišnoj platformi koja postoji na mreži Intranet
uorganizaciji, a da se ne čuvaju i ne izlažu na medijumu za skladištenje kojem se može
direktno prići sa mreže Internet;
f) da je, kada se koristi neko poverljivo ovlašćeno telo (npr., za izdavanje i
održavanjedigitalnih potpisa i/ili digitalnih sertifikata), sigurnost ugrađena u celi postupak
upravljanja certifikatima/ potpisima sa kraja na kraj.
Ostale informacije
Stepen usvojenih kontrola treba da je primeren nivou rizika za svaki od oblika
transakcijapreko direktne veze.
Za transakcije će možda biti potrebno da su u skladu sa zakonima, pravilima i

pravnom regulativom na osnovu kojih se transakcija generiše, preko kojih se procesira, na
kojima sezavršava i/ili skladišti.
Postoje mnogi oblici transakcija koje se mogu obavljati preko direktne veze npr.,
ugovorne, finansijske itd.
19.9.3. Javno dostupne informacije

Kontrola
Integritet informacija koje se stavljaju na raspolaganje na javno dostupnim sistemima
treba zaštititi kako bi se sprečilo njihovo neovlašćeno modifikovanje.
Softver, podaci i druge informacije koji se stavljaju na raspolaganje na sistemima sa
javnimpristupom i za koje se zahteva visok nivo integriteta, treba da su zaštićeni
odgovarajućim mehanizmima, npr., digitalnim potpisima (videti 12.3). Kod sistema sa
javnim pristupom,pre nego što se informacije učine javno dostupnim, sistem treba ispitati
u pogledu njegovihslabosti i otkaza.
Treba da postoji proces zvaničnog odobravanja pre nego što se informacije učine
javnodostupnim. Pored toga sve ulazne podatke koje sistem dobija spolja treba
verifikovati iodobriti.
Sisteme elektronskog izdavaštva, posebno one koji dozvoljavaju povratna delovanja
idirektno unošenje informacija, treba pažljivo kontrolisati tako da se:
a) informacije dobijaju u skladu sa svim propisima o zaštiti podataka (videti 15.1.4);
b) informacije, koje se unose i procesiraju u sistemu za izdavaštvo, procesiraju u
potpunosti, tačno i pravovremeno;
c) osetljive informacije štite tokom prikupljanja, procesiranja i skladištenja;
d) pristupanje sistemu za izdavaštvo ne omogućava neželjeni pristup na mreže na
koje je taj sistem priključen.
Ostale informacije
Za informacije u sistemima sa javnim pristupom, npr., informacije na nekom web
serverukojima se pristupa preko mreže Internet, može biti potrebno da su u skladu sa
zakonima, pravilima, regulativom u pravnom sistemu, u kojem je sistem postavljen, u
kojem setrgovanje odvija ili gde je vlasnik nastanjen. Neovlašćeno modifikovanje
objavljenih informacija može da naškodi ugledu izdavačke organizacije.
19.10. Monitoring
Cilj: Detektovati aktivnosti neovlašćene obrade informacija.
Sisteme treba nadgledati i treba zapisivati događaje u vezi sigurnosti. Da bi se
osiguralo identifikovanje problema u informacionom, sistemu treba koristiti dnevnike
operatera izapisivanje neispravnosti.
Organizacija treba da radi u skladu sa odgovarajućim zakonskim zahtevima koji
suprimenljivi na njene aktivnosti nadgledanja i zapisivanja.
64
Nadgledanje sistema treba koristiti da bi se proverila efikasnost kontrola koje su
usvojene i da bi se verifikovala usaglašenost sa modelom politike pristupanja.
19.10.1. Audit logovi

Kontrola
Audit logovi snimaju aktivnosti korisnika i izuzetke, a bezbednosni događaji generišu
se i čuvaju u dogovorenom periodu, radi buduće upotrebe za istrage i monitoring kontrole
pristupa.
Zapisi o proveri treba, kada je to potrebno, da uključe:
a) identifikatore korisnika (ID);
b) datume, vremena i detalje ključnih događanja, npr., prijavljivanja i odjavljivanja;
c) identitet terminalskog uređaja ili njegovu lokaciju ukoliko je to moguće;
d) zapise o uspešnim i odbijenim pokušajima pristupanja sistemu;
e) zapise o uspešnim i odbijenim pokušajima pristupanja podacima i drugim
resursima;
f) promene u konfiguraciji sistema;
g) korišćenje privilegija;
h) korišćenje sistemskih pomoćnih funkcija i aplikacija;
i) datoteke kojima se pristupalo i vrste pristupanja;
j) mrežne adrese i protokole;
k) alarme koje je pobudio sistem za kontrolu pristupa;
l) aktiviranje i deaktiviranje sistema zaštite, kao što su antivirusni sistemi i sistemi za
otkrivanje upada.
Ostale informacije
Zapisi provere mogu sadržati smetajuće i poverljive lične podatke. Treba preduzeti
odgovarajuće mere za zaštitu privatnosti (videti takođe 15.1.4). Kada je to moguće,
administratori sistema ne treba da imaju dozvolu da brišu ili deaktiviraju dnevnike
osopstvenim aktivnostima (videti 10.1.3).
19.10.2. Monitoring korišćenja sistema

Kontrola
Treba uspostaviti procedure za monitoringa korišćenja sredstava za obradu
informacija, a rezultate aktivnosti monitoringa treba redovno revidirati.
Potreban nivo nadgledanja za pojedinačna sredstva treba odrediti ocenjivanjem
rizika. Organizacija treba da radi u skladu sa svim odgovarajućim zakonskim zahtevima
koji su primenljivi na njene aktivnosti nadgledanja. Oblasti koje treba uzeti u obzir
uključuju:
a) ovlašćeno pristupanje, uključujući detalje kao što su:
1) identifikator korisnika (ID);

2) datum i vreme ključnih događanja;
3) tipove događanja;
4) datoteke kojima se pristupalo;
5) program/pomoćni programi koji su bili korišćeni;
b) sve povlašćene operacije, kao što su:
1) korišćenje povlašćenih računa, npr., nadzornika, izvornog (koren), administratora;
2) puštanje u rad i zaustavljanje sistema;
3) priključivanje/odspajanje ulazno/izlaznog uređaja;
c) pokušaje neovlašćenog pristupanja, kao što su:
1) neuspele ili odbijene akcije korisnika;
2) neuspele ili odbijene akcije uključujući podatke i druge resurse;
3) kršenja politike pristupa i izveštavanje na ulazima u mrežu i na zaštitnim
pregradama;
4) upozorenja iz sistema za otkrivanje provale u imovinu;
d) sistemska upozorenja ili otkazi kao što su:
1) upozorenja ili poruke na konzoli;
2) izuzeci prilikom prijavljivanja na sistem;
3) alarmi iz upravljanja mrežom;
4) alarmi pobuđeni sistemom za kontrolu pristupa;
e) promene ili pokušaji menjanja postavki za sigurnost sistema i kontrola.
Učestalost preispitivanja rezultata nadgledanja treba da zavisi od prisutnih rizika.
Faktoririzika koje treba uzeti u obzir uključuju:
a) kritičnost aplikativnih procesa;
b) vrednost, osetljivost ili kritičnost prisutnih informacija;
c) iskustva iz prošlosti o infiltracijama u sistem i zloupotrebama i učestalost pojava
korišćenja ranjivosti;
d) stepen međusobne povezanosti sistema (posebno u javnim mrežama);
e) deaktiviranje sredstava za zapisivanje.
Ostale informacije
Procedure za nadgledanje korišćenja neophodne su da bi se osiguralo da korisnici
obavljaju samo one aktivnosti koje su im eksplicitno odobrene.
Pregledanje dnevnika obuhvata razumevanje pretnji sa kojima se sistem suočavao i
načina na koji su one mogle nastati. Primeri događaja koji u slučaju incidenata
narušavanjasigurnosti mogu zahtevati dalja istraživanja dati su u 13.1.1.
66
19.10.3. Zaštita informacija u zapisima
Kontrola
Sredstva za logovanje i informacije u logovima moraju biti zaštićeni od slučajnog
menjanja i neautorizovanog pristupa.
Uputstvo za implementaciju Kontrole treba da su usmerene na zaštitu sredstava za
zapisivanje od neovlašćenog unošenja izmena i problema u njenom operativnom radu
uključujući:
a) menjanje tipova poruka koje se zapisuju;
b) unošenje izmena u datoteke sa zapisima ili njihovo brisanje;
c) prepunjavanje medijuma za zapise, što dovodi do otkaza zapisivanja događaja ili
upisivanja preko već ranije zapisanog.
Može se zahtevati da se neki zapisi o proveri arhiviraju kao deo politike čuvanja
zapisa ilizbog zahteva za prikupljanje i čuvanje dokaza (videti takođe 13.2.3).
Ostale informacije
Sistemski zapisnici često sadrže veliku količinu informacija, od kojih mnoge nisu u
vezi sa nadgledanjem sigurnosti. Da bi se pomoglo u identifikovanju događanja značajnih
zapotrebe nadgledanja sigurnosti sistema, treba koristiti automatsko kopiranje
odgovarajućih tipova poruka u jedan drugi zapis, i/ili korišćenje pogodnih sistemskih
pomoćnih programa ili alata provere za sprovođenje upita nad datotekama i
racionalizaciju.
Sistemske zapise potrebno je zaštititi jer ukoliko se podaci mogu modifikovati ili se
podaciiz njih mogu brisati, njihovo postojanje može dati lažan osećaj sigurnosti.
19.10.4. Logovi administratora i operatera

Kontrola
Aktivnosti aministratora i operatera sistema treba da budu logovani.
Zapisi (dnevnici) treba da obuhvate:
a) vreme kada se neki događaj (uspešan ili neuspešan) odigrao;
b) informacije o tom događaju (npr., o datotekama sa kojima se radilo) ili otkazu
(npr., greškama koje su se pojavile i preduzetim korektivnim merama);
c) koji račun i koji je administrator ili koji je operater u tome učestvovao;
d) procese koji su bili uključeni.
Zapise administratora i operatera treba redovno preispitivati.
Ostale informacije
Za nadgledanje usklađenosti aktivnosti administriranja sistemom i mrežom može
sekoristiti sistem za otkrivanje upada kojim se upravlja izvan kontrole sistema i
administratora mreže.
19.10.5. Logovi neispravnosti

Kontrola
Neispravnosti moraju biti logovani, analizirani i treba preduzimati odgovarajuće
akcije.
Treba zapisivati neispravnosti u smislu problema sa procesiranjem informacija
ilikomunikacionim sistemima koje prijave korisnici ili sistemski programi. Treba da postoje
jasna pravila o postupanju sa prijavljenim neispravnostima uključujući:
a) preispitivanje zapisa o neispravnostima kako bi se osiguralo da su neispravnosti
zadovoljavajuće razrešene;
b) preispitivanje korektivnih mera kako bi se osiguralo da kontrole nisu bile
narušene, kao i da je sprovedena akcija bila u potpunosti autorizovana.
Ako je na raspolaganju sistemska funkcija zapisivanja grešaka, treba osigurati da ona
budeaktivirana.
Ostale informacije
Zapisivanje grešaka i neispravnosti može uticati na rad nekog sistema. Takvo
zapisivanjetreba da omogući kompetentno osoblje, a potreban nivo zapisivanja za
pojedinačne sisteme treba da se odredi putem ocenjivanja rizika, uzimajuću i obzir
pogoršanje rada.
19.10.6. Sinhronizacija časovnika

Kontrola
Časovnici svih relevantnih sistema za obradu podataka u domenu cele organizacije, ili
bezbednosnog domena, moraju biti sinhronizovani sa dogovorenim izvorom tačnog
vremena.
Kada računar ili komunikacioni uređaj imaju mogućnost rada sa satom stvarnog
vremena,ovaj sat treba podesiti na dogovoreno standardno vreme, npr., na Univerzalno
koordinisano vreme (UCT) ili na lokalno zvanično vreme. Kako je poznato da pojedini
satovi odstupajutokom vremena, treba da postoji procedura za proveru i korigovanje
znatnijih odstupanja.
Ispravno tumačenje formata datuma/vremena je važno kako bi se osiguralo da
vremenskaoznaka odražava stvaran datum/vreme. Treba uzeti u obzir lokalne
specifičnosti (npr., letnjevreme).
Ostale informacije
Ispravna postavljenost računarskih satova važna je da bi se osigurala tačnost zapisa
zaproveru, što može biti potrebno prilikom istrage ili kao dokaz pri pravnim sporovima ili
postupcima disciplinskih mera. Neprecizni zapisi provere mogu smetati u takvim
istragamai mogu naškoditi verodostojnosti takvih dokaza. Kao glavni sat za sisteme
zapisivanja možese koristiti sat povezan radio vezom sa nacionanim atomskim satom. Za
održavanjesinhronizma svih servera sa glavnim satom može se koristiti mrežni vremenski
protokol.
68
20. Kontrola pristupa
20.1. Poslovni zahtevi za kontrolu pristupa

Cilj: Kontrolisati pristup informacijama.
Pristup informacijama, sredstvima za obradu informacija i poslovnim operacijama
treba kontrolisati na osnovu poslovnih i bezbednosnih zahteva.
Pravila kontrole pristupa treba da uzmu u obzir politike distribuiranja informacija i
autorizovanja.
20.1.1. Politika kontrole pristupa

Kontrola
Politika kontrole pristupa treba da je uspostavljena, dokumentovana i redovno
revidirana u odnosu na poslovne i bezbednosne zahteve za pristup.
Pravila i prava na kontrolisanje svakog korisnika ili grupe korisnika treba da budu
jasno iskazana u politici kontrole pristupa. Kontrole pristupa su i logičke i fizičke (videti
takođe 18) i one se moraju razmatrati zajedno. Korisnicima i davaocima usluga treba
jasno saopštiti poslovne zahteve koji treba da budu ispunjeni putem kontrole pristupa.
Ova politika treba da uzme u obzir sledeće:
a) bezbednosne zahteve za pojedinačne poslovne aplikacije;
b) identifikovanje svih informacija koje su u vezi sa poslovnim aplikacijama i
rizicima kojima se izlažu;
c) politike distribuiranja informacija i autorizacije pristupa, npr., potreba za
poznavanjem principa, nivoa zaštićenosti i klasifikacije informacija (videti
16.2);
d) konzistentnost između politike kontrole pristupa i politike klasifikovanja
informacija u različitim sistemima i mrežama;
e) relevantne zakone i ugovorne obaveze u pogledu zaštite pristupa podacima
ili servisima (videti 24.1);
f) standardne profile pristupa korisnika za opšte poslovne uloge u organizaciji;
g) upravljanje pravima pristupa u distribuiranom i mrežnom okruženju svih
tipova raspoloživih konekcija;
h) razdvajanje uloga za kontrolu pristupa, npr., zahtev za pristup, autorizacija,
administracija pristupa;
i) formalnu autorizaciju zahteva za pristup (videti 20.2.1);
j) periodične revizije kontrole pristupa (vdeti 20.2.4);
k) ukidanje prava pristupa (videti 17.3.3).
Ostale informacije
Prilikom određivanja pravila za kontrolu pristupa uzeti u obzir sledeće:
a) razlikovanje pravila koja se moraju uvek sprovoditi i smernica koje su opcione

ili uslovljene;
f) uspostavljanje pravila baziranih na stavu "Sve je u opštem slučaju zabranjeno
osim ako nije izričito dozvoljeno", umesto blažeg pravila "Sve je u opštem
slučaju dozvoljeno ukoliko nije izričito zabranjeno";
g) promene oznaka informacija (videti 16.2) koje su automatski inicirane
sredstvima za obradu i koje ekskluzivno inicira korisnik;
h) promene korisničkih prava koje su automatski inicirane od strane
informacionog sistema ili administratora;
i) pravila koja zahtevaju posebnu dozvolu za odobrenje i ona koja to ne
zahtevaju.
Pravila za kontrolisanje pristupa treba da su podržana formalnim procedurama i
jasno definisanim odgovornostima (videti, npr., 15.1.3, 20.3, 19.4.1, 20.6).
20.2. Upravljanje korisničkim pristupom

Cilj: Obezbediti pristup autorizovanih korisnika i onemogućiti neautorizovani pristup
informacionim sistemima.
Treba da postoje formalne procedure za kontrolu dodele prava za pristupanje
informacionim sistemima i uslugama.
Ove procedure treba da obuhvate sve faze životnog ciklusa pristupa korisnika, od
polaznog registrovanja novih korisnika do završnog brisanja iz registra onih korisnika
kojima više nije potreban pristup informacionim sistemima i uslugama. Posebnu pažnju
treba pokloniti,gde to odgovara, potrebi za kontrolisanjem dodele prava na privilegovano
(povlašćeno)pristupanje, koja korisnicima omogućuju prevladavanje sistemskih kontrola.
20.2.1. Registrovanje korisnika

Kontrola
Treba da postoji formalna procedura za registrovanje i brisanje korisnika iz registra
za dodelu i ukidanje prava pristupa svim informacionim sistemima i servisima.
Procedura kontrole pristupa kod registrovanja i brisanja korisnika iz registra treba da
uključi:
a) primenu jedinstvenih korisničkih identifikatora ID tako da se korisnici mogu
vezati uz i učiniti odgovornim za svoje aktivnosti; korišćenje grupnih
identifikatora ID treba dozvoliti samo tamo gde je to pogodno za obavljanje
posla i treba ga odobriti i dokumentovati;
b) proveru da korisnik ima ovlašćenje od vlasnika sistema za korišćenje tog
informacionog sistema ili usluge; mogu odgovarati i posebna odobrenja
menadžmenta u pogledu prava na pristupanje;
c) proveru da odobreni nivo pristupa odgovara poslovnoj nameni (videti 20.1) i
da je dosledan sa politikom sigurnosti u organizaciji, npr., da ne
kompromituje razdvajanje dužnost i (videti 19.1.3);
70
d) davanje korisnicima iskaza u pisanoj formi o njihovim pravima na pristup;
e) zahtevanje od korisnika da potpišu izjave kojima se ukazuje na to da oni
razumeju uslove pristupanja;
f) osiguranje da davaoci usluga neće davati pristup dok se ne sprovedu
procedure autorizacije;
g) održavanje formalnog zapisa o svim osobama registrovanim za korišćenje
servisa;
h) momentalnim uklanjanjem prava ili blokiranjem prava pristupa korisnicima
koji su promenili svoju ulogu u poslu ili su napustili organizaciju;
i) periodično proveravanje i uklanjanje ili blokiranje redudantnih korisničkih
identifikatora i naloga (videti 20.2.4);
j) osiguravanje da se redudantni korisnički identifikatori ne izdaju drugim
korisnicima.
Ostale informacije
Treba razmotriti uspostavljanje uloga u pristupanju korisnika zasnovanih na
poslovnim zahtevima kojima se više prava na pristup objedinjuje u tipične profile
pristupanja korisnika. Zahtevima i preispitivanjem pristupa (videti 20.2.4) lakše se upravlja
na nivoutakvih uloga nego na nivou posebnih prava.
Treba obratiti pažnju da se u ugovorima sa osobljem ili ugovorima o davanju usluga
predvide odredbe u kojima se navode kazne za pokušaje neovlašćenog pristupanja od
strane osoblja ili zastupnika u davanju usluga (videti takođe 15.1.5, 17.1.3, i 17.2.3).
20.2.2. Upravljanje privilegijama

Kontrola
Dodele i korišćenje privilegija treba da su restriktivne i kontrolisane.
Sistemi sa više korisnika u kojima je potrebna zaštita od neovlašćenog pristupanja
treba da imaju dodeljene povlastice koje se kontrolišu kroz zvanične procese autorizacije.
Treba uzeti u obzir sledeće korake:
a) treba identifikovati povlastice za pristup koje se pridružuju uz svaki sistemski
proizvod, npr., operativni sistem, sistem upravljanja bazom podataka i
svakuaplikaciju, kao i korisnike kojima ih je potrebno dodeliti;
b) povlastice treba dodeljivati korisnicima na osnovu potreba za njihovim
korišćenjem iod slučaja do slučaja, u skladu sa politikom kontrole pristupa
(20.1.1), tj. uzminimalne zahteve za ulogu njihove funkcije i samo kada je to
potrebno;
c) treba održavati postupak autorizovanja i zapise o svim dodeljenim
povlasticama. Povlastice ne treba dodeljivati pre nego što se u potpunosti
sprovede procedura za izdavanje odobrenja;
d) treba unapređivati razvoj i korišćenje sistemskih rutinskih programa kako bi
se izbegla potreba da se korisnicima dodeljuju povlastice;
e) treba unapređivati razvoj i korišćenje programa u čijem radu je izbegnuta
potreba zapovlasticama;
f) povlastice treba dodeljivati identifikatorima korisnika ID koji su različiti od

onih za normalno poslovno korišćenje.
Ostale informacije
Neodgovarajuće korišćenje administrativnih povlastica u sistemu (svake funkcije ili
sredstva u informacionom sistemu koja korisniku omogućava prevladavanje ili
zaobilaženje sistemskih ili aplikacijskih kontrola) često može da predstavlja značajan
faktor koji doprinosi otkazima u sistemima ili probojima.
20.2.3. Upravljanje korisničkim lozinkama

Kontorla
Dodelu lozinki treba kontrolisati kroz formalni proces upravljanja.
Ovaj postupak treba da uključi sledeće zahteve:
a) od korisnika treba zahtevati da potpišu izjavu da će lične lozinke držati
poverljivo agrupne lozinke samo među članovima te grupe; ova potpisana
izjava može biti uključena u uslove zapošljavanja (videti 8.1.3);
b) kada se od korisnika zahteva da imaju sopstvene lozinke, treba im na početku
obezbediti tajne privremene lozinke (videti 11.3.1) koje oni moraju odmah da
izmene;
c) pre dodeljivanja nove, zamenjene ili privremene lozinke, treba uspostaviti
procedureza verifikovanje identiteta korisnika;
d) privremene lozinke korisnicima treba davati na siguran način; korišćenje
trećih strana ili poruka elektronske pošte u nezaštićenom (otvorenom) tekstu
treba izbegavati;
e) privremene lozinke treba da su jedinstvene za pojedinca i da se ne mogu
pogoditi;
f) korisnici treba da potvrde prijem lozinki;
g) lozinke nikada ne treba čuvati u računarskom sistemu u nezaštićenom obliku;
h) pre instalisanja sistema ili softvera treba izmeniti lozinke koje je prodavac
unapred dao.
Ostale informacije
Lozinke predstavljaju uobičajeno sredstvo za verifikovanje korisnikovog identiteta
pre davanja pristupa nekom informacionom sistemu ili usluzi u skladu sa ovlašćenjima tog
korisnika. Ako to odgovara, za identifikovanje korisnika i utvrđivanje verodostojnosti
trebapredvideti i druge tehnike koje su na raspolaganju, kao što su biometrijske veličine,
npr.verifikovanje otiska prsta, verifikovanje potpisa i primena hardverskih žetona, npr.,
kartica sa čipom.
20.2.4. Revizija prava korisničkog pristupa

Kontrola
Menadžerska revizija prava korisničkog pristupa treba da bude redovan, formalan
proces.
72
Uputstvo za implementaciju Preispitivanje prava na pristup treba da uzme u obzir
sledeće smernice:
a) prava korisnika na pristup treba preispitivati u pravilnim razmacima, npr., u
periodima od 6 meseci, kao i posle svake promene, kao što je unapređenje,
razrešenje, kraj zaposlenja (videti 20.2.1);
b) prava korisnika na pristup treba takođe preispitivati i ponovo dodeljivati
prilikom prelaska zaposlenog sa jednog na drugo radno mesto u istoj
organizaciji;
c) autorizacije posebnih prava na povlašćeno pristupanje (videti 20.2.2) treba
preispitivati u kraćim intervalima, npr., u periodima od 3 meseca;
d) dodeljene povlastice treba proveravati u pravilnim intervalima kako bi se
osiguralo da nisu dobijene neautorizovane povlastice;
e) izmene privilegovanih naloga treba zapisivati radi periodičnog preispitivanja.
Ostale informacije
Redovno preispitivanje prava na pristup neophodno je da bi se održala efikasna
kontrola pristupa podacima i informacionim uslugama.
20.3. Odgovornosti korisnika

Cilj: Onemogućiti neautorizovan korisnički pristup i kompromitaciju ili krađu
informacija, ili opreme za obradu informacija.
Osnova efektivne zaštite zasniva se na saradnji autorizovanih korisnika.
Korisnici treba da su svesni svojih odgovornosti za održavanje efektivnosti kontrola
pristupa, posebno u pogledu korišćenja lozinki i bezbednosti korisničke opreme.
Da bi se smanjio rizik od neautorizovanog pristupa, ili uništavanja papira, medijuma i
sredstava za obradu informacija, treba implementirati politiku praznog stola i praznog
ekrana.
20.3.1. Korišćenje lozinke

Kontrola
Od korisnika treba zahtevati da se pridržavaju dobrih praksi zaštite lozinki, prilikom
njihovog izbora i korišćenja.
Svim korisnicima treba savetovati da:
a) lozinke drže u tajnosti;
b) izbegavaju čuvanje lozinki u pisanom obliku (npr., na papiru, u softverskoj
datoteci ili na uređajima koji se nose u ruci), osim ako se ovi mogu skladištiti
na siguran način, a metoda skladištenja je odobrena;
c) zamenjuju lozinke uvek kada postoji bilo kakav nagoveštaj
mogućegkompromitovanja sistema ili lozinke;
d) odaberu pouzdane lozinke dovoljne najmanje dužine, koje se:
1) lako pamte;
2) nisu zasnovane na bilo čemu što bi neko drugi mogao lako da pogodi
ili da dobije
3) korišćenjem ličnih podataka osobe, npr., imena, telefonskih brojeva,
datuma rođenja itd.;
4) koje nisu ranjive prema napadima pomoću rečnika (tj. ne sastoje se
od reči koje su sadržane u rečnicima);
5) da u sebi ne sadrže uzastopne identične isključivo brojčane ili slovne
znakove;
bbbbbbb) zamenjuju lozinke u pravilnim razmacima ili na osnovu broja
pristupanja (lozinke za povlašćene račune treba menjati češće od normalnih
lozinki), kao i da izbegavaju ponovno korišćenje ili ponavljanje starih lozinki;
ccccccc) zamenjuju privremene lozinke pri prvom prijavljivanju;
ddddddd) da lozinke ne stavljaju u bilo koji automatizovani postupak
prijavljivanja, npr.ubacivanjem pod makro ili funkcionu tipku;
eeeeeee) da ne koriste zajednički istu lozinku pojedinačnog korisnika;
fffffff) da ne koriste istu lozinku za poslovne i neposlovne namene.
Ako je korisnicima potrebno da pristupaju na više usluga, sistema ili platformi pa se
od njih zahteva da imaju višestruke zasebne lozinke, treba ih savetovati da mogu da
koriste jedinstvenu, pouzdanu lozinku (videti prethodno pod d) za sve usluge za koje je
korisniksiguran da je unutar svake usluge, sistema ili platforme uspostavljen razuman nivo
zaštite za skladištenje lozinke.
Ostale informacije
Upravljanje sistemom za pomoć u pogledu izgubljenih ili zaboravljenih lozinki
zahteva posebnu pažnju jer to takođe može da bude sredstvo za napad na sistem sa
lozinkama.
20.3.2. Korisnička oprema bez nadzora

Kontrola
Korisnici treba da obezbede odgovarajuću zaštitu opreme koja je bez nadzora.
Svi korisnici treba da su upoznati sa zahtevima za sigurnost i procedurama za zaštitu
uređaja koji su bez nadzora, kao i sa svojim odgovornostima za implementaciju
takvezaštite. Korisnicima treba savetovati:
a) da po završetku okončaju aktivne sesije (poslovi), osim ako se one mogu
osigurati odgovarajućim mehanizmom zaključavanja, npr., automatsko
gašenje ekrana sa primenom lozinke;
b) da se po završetku sesije (posla) odjave sa glavnih računara, servera i
kancelarijskih ličnih (PC) računara (tj. da nije dovoljno da samo isključe
napajanje ekrana na PC ili terminalskom uređaju);
c) da lične računare (PC) ili terminalske uređaje, kada nisu u upotrebi, osiguraju
od neovlašćenog korišćenja primenom bravice sa ključem ili nekom
74
ekvivalentnom kontrolom, npr., pristupanjem pomoću lozinke (videti takođe
20.3.3).
Ostale informacije
Kada se uređaji instalirani kod korisnika, npr., radne stanice ili serveri sa datotekama
ostavljaju duže vreme bez nadzora, za njih se može zahtevati posebna zaštita od
neovlašćenog pristupa.
20.3.3. Politika praznog stola i ekrana

Kontrola
Treba usvojiti politiku praznog stola za papire i prenosive medijume i politiku praznog
ekrana za sredstva za obradu informacija.
Politika praznog stola i praznog ekrana treba da uzme u obzir klasifikovanost
informacija (videti 16.2), zakonske i ugovorne zahteve (videti 24.1), kao i odgovarajuće
rizike i kulturne aspekte u organizaciji. Treba uzeti u obzir sledeće smernice:
a) osetljive ili kritične poslovne informacije, npr., na papiru ili na elektronskim
medijumima za skladištenje, kada se ne koriste, treba zaključavati (idealno u
sefu ili ormanu ili u drugim oblicima pouzdanog nameštaja), posebno kada se
kancelarijeisprazne;
b) računare i terminalske uređaje, kada su bez nadzora, treba ostavljati
odjavljene sa sistema i zaštićene pomoću mehanizma zaključavanja ekrana i
tastature koji se upravlja pomoću lozinke, žetona ili sličnim mehanizmom za
proveru verodostojnosti korisnika, a kada nisu u upotrebi treba ih zaštititi
pomoću bravica sa ključem, lozinki ili drugih kontrola;
c) treba zaštititi mesta dolazne i odlazne pošte i uređaje za faksimil koji se ne
nadgledaju;
d) treba sprečiti neovlašćeno korišćenje aparata za fotokopiranje i drugih
sredstava za reprodukovanje (npr., skenera, digitalnih kamera);
e) dokumente koji sadrže osetljive ili klasifikovane informacije, posle štampanja
treba odmah ukloniti iz štampača.
Ostale informacije
Politika praznog stola i praznog ekrana umanjuje rizike od neovlašćenog pristupa,
gubljenja i oštećenja informacija tokom i izvan normalnog radnog vremena. Sefovi ili
drugioblici sigurnih sredstava za skladištenje mogu takođe da zaštite sadržane informacije
odkatastrofa kao što su požar, zemljotres, poplava ili eksplozija.
Treba razmotriti korišćenje štampača sa funkcijom igličastog šifrovanja, tako da
izvorniautori budu jedini koji mogu da dobiju odštampane stvari, kao i samo kada
stojeneposredno uz štampač.
20.4. Kontrola mrežnog pristupa

Cilj: Onemogućiti neovlašćen pristup mrežnim servisima.
Treba kontrolisati pristup uslugama i na internim i na eksternim mrežama.
Da pristup korisnika na mrežu i uslugama na mreži ne bi narušio sigurnost ovih

usluga, neophodno je obezbediti sledeće:
a) odgovarajuće prelazne spojeve između sopstvene mreže u organizaciji i
mreža čiji suvlasnici druge organizacije, ili javnih mreža;
b) odgovarajuće mehanizme za utvrđivanje verodostojnosti korisnika i uređaja;
c) sprovođenje kontrolisanja pristupa korisnika informacionim uslugama.
20.4.1. Politika korišćenja mrežnih servisa

Kontrola
Korisnici treba da imaju pravo pristupa samo onim servisima za koje su autorizovani
da ih koriste.
Treba formulisati politiku u pogledu korišćenja mreža i usluga na mreži. Ovom
politikom treba da bude obuhvaćeno sledeće:
a) mreže i usluge na mreži, kojima je pristup dozvoljen;
b) procedure autorizacije radi utvrđivanja kome je odobreno pristupanje, kojoj
mreži i kojim uslugama;
c) postupci i procedure upravljanja za zaštitu pristupa mrežnim priključcima i
uslugama;
d) sredstva koja se koriste za pristupanje mrežama i uslugama na mreži (npr.,
uslovi za dozvolu pristupa sa biranjem broja ka davaocu usluga na mreži
Internet ili udaljenom sistemu).
Ova politika korišćenja usluga na mreži treba da je dosledna sa politikom
kontrolisanja poslovnog pristupa (videti 11.1).
Ostale informacije
Neovlašćeni i nezaštićeni priključci na usluge na mreži mogu imati posledice na
celuorganizaciju. Ova kontrola je posebno važna kod mrežnih priključaka na osetljive
ilikritične poslovne aplikacije ili za korisnike na mestima velikog rizika, npr., na javnim ili
spoljnim oblastima koje su izvan kontrole i upravljanja sigurnošću u organizaciji.
20.4.2. Autentifikacija udaljenih korisnika

Kontrola
Za kontrolu udaljenog korisničkog pristupa treba koristiti odgovarajuće
autentifikacione metode.
Provera verodostojnosti udaljenih korisnika može se ostvariti primenom, na primer,
postupka na kriptografskoj osnovi, hardverskim žetonima, ili protokolom sa
upitom/odgovorom. Moguće implementacije takvih tehnika mogu se naći u raznim
rešenjima za virtuelne privatne mreže (VPN). Da bi se obezbedila sigurnost izvornog
priključka, mogu se takođe koristiti dodeljeni privatni vodovi.
Zaštita od neovlašćenog i neželjenog priključivanja na sredstva za procesiranje
informacija u organizaciji može da se obezbedi procedurama i kontrolama sa povratnim
76
pozivanjem,npr., korišćenjem modema sa povratnim biranjem. Ovim tipom kontrole
utvrđuje severodostojnost korisnika koji pokušavaju da sa udaljenih lokacija uspostave
vezu samrežom neke organizacije. Kada koristi ovu kontrolu, organizacija ne bi trebalo da
koristi usluge na mreži koje uključuju prosleđivanje poziva ili, ako to čine, treba da
onemoguće primenu takvih funkcija kako bi se izbegla slabljenja zaštite koja se vezuju uz
prosleđivanjepoziva. Proces povratnog pozivanja treba da osigura da se sprovede stvarno
raskidanje veze na strani organizacije. U suprotnom, udaljeni korisnik bi mogao da zadrži
vod otvorenim praveći se da je verifikovanje povratnim pozivanjem uspelo. Procedure i
kontrole kod povratnog pozivanja treba da se detaljno provere u pogledu ove
mogućnosti.
Kao alternativno sredstvo za proveru verodostojnosti grupa udaljenih korisnika, kada
su oni priključeni na sigurna zajednička računarska sredstva, može služiti
proveraverodostojnosti u čvorištima. Za proveru verodostojnosti u čvorištima mogu se
koristitikriptografske tehnike zasnovane npr., na mašinskim sertifikatima. Ovo je deo iz
nekoliko rešenja zasnovanih na virtuelnim privatnim mrežama VPN.
Za kontrolu pristupa u bežičnim mrežama treba ugraditi dopunske kontrole za
proveruverodostojnosti. Posebno, specijalna pažnja je potrebna prilikom izbora kontrola
za bežične mreže zbog većih mogućnosti za neprimetno prisluškivanje i ubacivanje u
saobraćaj namreži.
Ostale informacije
Spoljni priključci pružaju mogućnost neovlašćenog pristupa poslovnim
informacijama, npr.pristup metodom biranja broja. Postoje razni tipovi provere
verodostojnosti, pri čemu neki od njih daju veći nivo zaštite od drugih, npr., metode
zasnovane na primeni kriptografskihpostupaka mogu da obezbede pouzdanu proveru
verodostojnosti. Važno je da se nivo potrebne zaštite odredi na osnovu ocene rizika. To je
potrebno radi odgovarajućeg izborametode za proveru verodostojnosti.
Sredstva za automatsko priključivanje na udaljeni računar može da otvori put za
dobijanjeneovlašćenog pristupa nekoj poslovnoj aplikaciji. Ovo je posebno važno ako se
za priključak koristi mreža koja je izvan kontrole upravljanja sigurnošću u organizaciji.
20.4.3. Identifikacija mrežnih uređaja

Kontrola
Automatsko identifikovanje opreme treba smatrati dodatnim sredstvom za
autentifikaciju konekcija sa specifičnih lokacija i opreme.
Identifikovanje opreme može se primenjivati kada je važno da se komunikacije mogu
započeti samo sa neke posebne lokacije ili opreme. Da bi se identifikovalo da li je nekoj
opremi dozvoljeno da se priključi na mrežu, može se koristiti identifikator unutar same
opreme ili pridodat toj opremi. Ovi identifikatori treba jasno da ukazuju na koju je mrežu
opremi dozvoljeno da pristupa, ukoliko postoji više mreža a posebno ako je osetljivost tih
mreža različita. Da bi se sačuvala tajnost identifikatora opreme, može biti neophodno da
se uzme u obzir fizička zaštita te opreme.
Ostale informacije
Da bi se utvrdila verodostojnost korisnika uređaja, ova kontrola se može dopuniti i

drugim tehnikama (videti 11.4.2). Pored utvrđivanja verodostojnosti korisnika dodatno se
može primeniti identifikovanje opreme.
20.4.4. Sprečavanje udaljene analize i konfiguracije portova

Kontrola
Treba kontrolisati fizički i logički pristup priključcima za daljinsku dijagnostiku i
konfigurisanje.
Moguće kontrole pristupa priključcima za daljinsku dijagnostiku i konfigurisanje
uključujuprimenu bravice sa ključem i procedura za podršku kontrole fizičkog pristupa
priključcima. Jedan primer takve procedure za podršku je da se osigura da su
dijagnostičkikonfiguracijski priključci dostupni samo u dogovoru između rukovodioca
računarskih usluga i osoblja za podršku hardvera/softvera kojem je potreban pristup.
Priključke, usluge i slična sredstva koji su instalisana na neka računarska ili sredstva
na mreži, koja se ne zahtevaju posebno za funkcije poslovanja, treba onemogućiti ili
ukloniti.
Ostale informacije
Mnogi računarski sistemi, mrežni i komunikacioni sistemi opremljeni su sredstvima
zadaljinsku dijagnostiku ili konfigurisanje a koriste ih stručnjaci održavanja. Ako su
nezaštićeni, ovi dijagnostički priključci pružaju sredstvo za neovlašćeno pristupanje.
20.4.5. Razdvajanje u mrežama

Kontrola
U mrežama treba da su razdvojene grupe informacionih servisa, korisnika i
Jedna od metoda za kontrolu sigurnosti u velikim mrežama je da se one podele u
odvojene logičke mrežne domene, npr., na domen interne mreže organizacije i na domen
spoljne mreže, pri čemu je svaki domen zaštišen u definisanoj sigurnosnoj oblasti. Da bi se
u raznim logičkim mrežnim domenima izvršilo dalje razdvajanje okruženja sigurnosti
mreže, može se ugraditi stepenasti skup kontrola npr., sistemi sa javnim pristupom,
unutrašnjemreže i kritična dobra. Domene treba definisati na osnovu ocene rizika i
različitih zahteva za zaštitu unutar svakog domena.
Takva oblast u mreži može se uvesti instalisanjem sigurnog prolaza između dve
mreže koje međusobno treba povezati, kako bi se kontrolisao pristup i protok informacija
između ova dva domena. Ovaj prolaz treba konfigurisati tako da filtrira saobraćaj između
tih domena (videti 11.4.6 i 11.4.7) kao i da zaustavlja neovlašćeni pristup u skladu sa
politikom organizacije za kontrolu pristupa (videti 11.1). Primer ovakvog tipa prolaza za
pristup seobično navodi kao zaštitna pregrada. Druga metoda razdvajanja logičkih
domena je da se ograniči pristup mreži korišćenjem virtuelnih privatnih mreža za grupe
korisnika unutar organizacije.
78
Mreže je takođe moguće razdvojiti korišćenjem funkcija mrežnih uređaja, npr.,
IPprespajanje. Razdvojeni domeni se zatim mogu implementirati preko upravljanja
tokovima podataka primenom funkcija usmeravanja/prespajanja, kao što su spiskovi za
kontrolupristupa.
Kriterijumi za razdvajanje mreža u domene treba da se zasnivaju na politici
kontrolepristupa i zahtevima za pristup (videti 10.1), a u obzir treba uzeti i relativne
troškove i posledice ugradnje pogodnog mrežnog usmeravanja ili tehnike prolaza za
pristup (videti 11.4.6 i 11.4.7).
Pored toga, razdvajanje u mrežama treba da se zasniva na vrednosti i klasifikovanosti
informacija koje su uskladištene ili se obrađuju u mreži, nivoima poverenja, ili vrstama
poslovanja, kako bi se smanjile ukupne posledice od nekog poremećaja usluge.
Treba razmotriti odvajanje bežičnih mreža od unutrašnjih i privatnih mreža. Kako
oblasti bežičnih mreža nisu potpuno definisana, u takvim slučajevima treba sprovesti
ocenjivanje rizika kako bi se identifikovale kontrole (npr., pouzdana provera
verodostojnosti,kriptografske metode i izbor frekvencija) kako bi se razdvajanje mreža
održalo.
Ostale informacije
Mreže se sve više proširuju izvan tradicionalnih granica organizacije, jer se formiraju
poslovna partnerstva kojima će biti potrebno međusobno povezivanje ili zajedničko
korišćenje sredstava za procesiranje informacija i povezivanje u mreže. Takva proširenja
mogu povećati rizik neovlašćenog pristupa u već postojećim informacionim sistemima koji
koriste mrežu, od kojih nekima može biti potrebna zaštita od drugih korisnika te
mrežezbog sopstvene osetljivosti ili kritičnosti.
20.4.6. Kontrola mrežne konekcije

Kontrola
Na deljenim mrežama, naročito onim koje se protežu van granica organizacije,
mogućnosti konektovanja korisnika na mrežu moraju biti ograničene, u skladu sa
politikom kontrole pristupa i zahtevima poslovnih operacija (videti 11.1).
Prava korisnika na pristupanje treba održavati i ažurirati prema zahtevima politike
kontrole pristupa (videti 11.1.1).
Mogućnosti priključenja korisnika mogu se ograničiti preko prolaza za pristup na
mrežu u kojima se saobraćaj filtrira pomoću prethodno definisanih tabela ili pravila.
Primeriaplikacija prema kojima treba primeniti ograničenja su:
a) prenošenje poruka, npr., elektronska pošta;
b) prenošenje datoteka;
c) interaktivni pristup (uzajamno delovanje);
d) pristup aplikacijama.
Treba uzeti u obzir vezivanje prava na pristup mreži za određena vremena tokom
dana ili za datume.
Ostale informacije
Kod mreža sa zajedničkim korišćenjem, politikom kontrole pristupa može se

zahtevati ugradnja kontrola radi ograničavanja mogućnosti priključivanja korisnika,
posebno kod onih mreža koje se protežu izvan granica organizacija.
20.4.7. Kontrola rutiranja mreže

Kontrola
Treba implementirati kontrole rutiranja mreža, radi obezbeđenja da računarske
konekcije i tokovi podataka ne naruše politiku kontrole pristupa poslovnim operacijama.
Da bi se osiguralo da priključivanje računara i tokovi informacija ne krše politiku
kontrolepristupa za poslovne aplikacije u mreže je potrebno uvesti kontrole
preusmeravanja.
Kontrole preusmeravanja treba da se zasnivaju na mehanizmima za pouzdanu
proveruadresa izvorišta i odredišta.
Za validaciju adresa izvorišta i odredišta mogu se koristiti sigurnosni prolazi za pristup
naunutrašnjim ili spoljnim kontrolnim tačkama ukoliko se primenjuju tehnike
prevođenjaproksi i/ili mrežnih adresa. Primenioci treba da poznaju snagu i nedostatke
svakogmehanizma koji se postavlja. Zahtevi za kontrolu preusmeravanja u mreži treba da
sezasnivaju na politici kontrole pristupa (videti 11.1).
Ostale informacije
Kod mreža sa zajedničkim korišćenjem, posebno onih koje se protežu izvan granica
organizacije, možda će se zahtevati dodatne kontrole za preusmeravanje. Ovo posebno
važikod mreža koje se koriste zajedno sa korisnicima sa trećih strana (koji ne
pripadajuorganizaciji).
20.5. Kontrola pristupa operativnom sistemu

Cilj: Onemogućiti neautorizovani pristup operativnim sistemima.
Za ograničavanje pristupa sistemu na ovlašćene korisnike treba da se koriste sredstva
za sigurnost. Ova sredstva treba da imaju sposobnosti za:
a) utvrđivanje verodostojnosti ovlašćenih korisnika, u skladu sa definisanom
politikom kontrole pristupa;
b) zapisivanje uspešnih i neuspešnih pokušaja utvrđivanja verodostojnosti u
sistemu;
c) zapisivanje korišćenja specijalnih sistemskih privilegija (povlastica);
d) davanje alarma kada se prekrši politika sigurnosti u sistemu;
e) pružanje odgovarajućih sredstava za proveru verodostojnosti;
f) tamo gde to odgovara, ograničavanje trajanja priključenja korisnika.
20.5.1. Bezbednosne log-on procedure

Kontrola
80
Pristup operativnim sistemima mora biti kontrolisan bezbednosnim log-on
procedurama.
Proceduru za prijavljivanje na operativni sistem treba projektovati tako da se na
minimumsvede mogućnost neovlašćenog pristupa. Procedura za prijavljivanje zbog toga
treba daotkriva samo minimum informacija o sistemu, kako bi se izbeglo da se
neovlašćenom korisniku nepotrebno pruži pomoć. Dobra procedura za prijavljivanje
treba:
a) da ne prikazuje identifikatore sistema ili aplikacije sve dok se prijavljivanje
nedovrši uspešno;
b) da prikaže opštu poruku upozorenja, da računaru treba da pristupaju samo
ovlašćeni korisnici;
c) da u toku procedure prijavljivanja ne daje poruke za pomoć koje bi pomogle
neovlašćenim korisnicima;
d) da validaciju informacija dobijenih radi prijavljivanja izvrši tek po završetku
unošenja svih podataka. Ukoliko nastane stanje greške, sistem ne treba da
ukaže nato koji je deo podataka tačan ili netačan;
e) da ograniči dozvoljeni broj neuspešnih pokušaja prijavljivanja, npr., na tri
pokušaja i još da predvidi:
1) zapisivanje neuspešnih i uspešnih pokušaja;
2) sprovođenje vremenskog odlaganja pre nego se dozvole dalji pokušaji
prijavljivanja ili odbacivanje svakog daljeg pokušaja bez posebnog
odobrenja;
3) raskidanje veza u linku za podatke;
4) slanje poruke upozorenja na sistemsku konzolu ako je dostignut
najveći dozvoljen broj pokušaja prijavljivanja;
5) postavljanje broja ponovnih pokušaja u vezi sa najmanjom dužinom
lozinke i vrednosti sistema koji se štiti;
ggggggg) da ograniči maksimalno i minimalno dozvoljeno vreme trajanja
procedure prijavljivanja. Ako se ona premaše, sistem treba da obustavi
prijavljivanje;
hhhhhhh) da po završetku uspešnog prijavljivanja prikaže sledeće
informacije:
1) datum i vreme prethodnog uspešnog prijavljivanja;
2) detalje svakog od neuspelih pokušaja prijavljivanja, u periodu posle
zadnjeg uspešnog prijavljivanja.
iiiiiii) da ne prikazuje lozinku koja se unosi ili da znakove lozinke sakriva pomoću
drugih simbola;
jjjjjjj) da kroz mrežu ne šalje lozinke u otvorenom tekstu.
Ostale informacije
Ako se lozinke tokom sesije prijavljivanja na mrežu prenose u otvorenom tekstu, one
na mreži mogu biti uhvaćene pomoću nekog mrežnog programa za praćenje.
20.5.2. Identifikacija i autentifikacija korisnika

Kontrola
Svi korisnici treba da imaju jedinstveni identifikator (korisnički ID) za lične namene i
treba implementirati odgovarajuće autentifikacione mehanizme za verifikovanje
identiteta korisnika.
Ovu kontrolu treba primenjivati na sve tipove korisnika (uključujući osoblje za
tehničku podršku, operatere, administratore mreža, sistemske programere i
administratore bazapodataka).
Korisničke identifikatore (ID) treba primenjivati, da bi se aktivnosti mogle ispratiti
doodgovornog pojedinca. Redovne korisničke aktivnosti ne treba obavljati sa povlašćenih
računa.
U izuzetnim okolnostima, kada postoji jasna poslovna korist, može se primeniti i
zajednički identifikator grupe korisnika ili specifičnog posla. Za takve slučajeve treba dobiti
dokumentovano odobrenje menadžmenta. Da bi se održavala odgovornost mogu
bitipotrebne dopunske kontrole.
Generičke ID identifikatore za individualno korišćenje treba odobravati samo kada za
dostupne funkcije ili aktivnosti koje se sprovode nema potrebe da budu praćene
(npr.pristup samo sa čitanjem), ili kada postoje postavljene druge kontrole (npr., lozinka
za generički ID koja se samo izdaje jednom po jednom zaposlenom i zapisivanje takvog
slučaja).
Kada se zahteva stroga provera verodostojnosti i verifikovanje identiteta, treba
koristitimetode alternativne lozinkama, kao što su kriptografska sredstva, kartice sa
čipom, žetoniili biometrijska sredstva.
Ostale informacije
Lozinke (videti takođe 20.3.1 i 20.5.3) su vrlo uobičajen način da se obezbedi
identifikacija iutvrdi verodostojnost zasnovano na tajni koju zna samo korisnik. Isto se
može ostvariti i pomoću kriptografskih sredstava i protokola za utvrđivanje
verodostojnosti. Strogost identifikovanja korisnika i utvrđivanja verodostojnosti treba da
odgovara osetljivosti informacija kojima se pristupa.
Za identifikovanje i utvrđivanje verodostojnosti takođe se mogu koristiti objekti
kojeposeduju korisnici kao što su memorijski žetoni ili kartice sa čipom. Za utvrđivanje
ličnogidentiteta osobe mogu se koristiti i jedinstvene karakteristike ili biometrijski
atributipojedinca. Kombinacija tehnika i čvrsto povezanih mehanizama pruža pouzdanije
utvrđivanje verodostojnosti.
20.5.3. Sistem upravljanja lozinkama

Kontrola
Sistemi za upravljanje lozinkama treba da budu interaktivni i da obezbeđuju
kvalitetne lozinke.
Sistem upravljanja lozinkama treba da:
82
a) sprovodi korišćenje pojedinačnih korisničkih identifikatora (ID) i lozinki kako
bi se održala odgovornost;
b) omogući korisnicima, kada to odgovara, da odabiraju i menjaju sopstvene
lozinke,kao i da uključe proceduru potvrđivanja kako bi se u obzir uzele
greške prilikom unošenja;
c) sprovodi odabiranje pouzdanih lozinki (videti 11.3.1);
d) sprovodi promene lozinki (videti 11.3.1);
e) sprovodi da korisnici privremene lozinke zamene prilikom svog prvog
prijavljivanja (videti 11.2.3);
f) da održava zapis sa prethodnim korisničkim lozinkama, kao i da spreči
njihovo ponovno korišćenje;
g) da prilikom unošenja lozinke ne prikazuje na ekranu;
h) datoteke sa lozinkama da skladišti zasebno od sistemskih podataka aplikacije;
i) lozinke da skladišti i šalje u zaštićenom obliku (npr., šifrovane ili sa primenom
heš funkcije).
Ostale informacije
Lozinke su jedno od glavnih sredstava validacije ovlašćenja korisnika za pristupanje
nekoj računarskoj usluzi.
Neke aplikacije zahtevaju da lozinke korisnicima dodeljuje neko nezavisno ovlašćeno
telo; u takvim slučajevima ne primenjuju se prethodno navedene tačke b), d) i e). U
najvećem brojuslučajeva lozinke odabiraju i čuvaju sami korisnici. Kao uputstvo o
korišćenju lozinki videti 11.3.1.
20.5.4. Korišćenje sistemskih alata (system utility)

Kontrola
Korišćenje pomoćnih programa koji mogu zaobići kontrole u sistemu ili aplikaciji,
mora biti restriktivno i strogo kontrolisano.
Kod korišćenja sistemskih pomoćnih programa treba uzeti u obzir sledeće smernice:
a) primenu procedura za identifikovanje, utvrđivanje verodostojnosti i izdavanje
odobrenja za korišćenje sistemskih pomoćnih programa;
b) razdvajanje sistemskih pomoćnih programa od aplikativnih softvera;
c) ograničenje korišćenja sistemskih pomoćnih programa na minimalno
ostvarljiv broj poverljivih, ovlašćenih korisnika (videti takođe 11.2.2);
d) izdavanje ovlašćenja za jednokratno korišćenje sistemskih pomoćnih
programa;
e) ograničavanje raspoloživosti sistemskih pomoćnih programa, npr., samo u
toku trajanja unošenja neke autorizovane promene;
f) zapisivanje svih korišćenja sistemskih pomoćnih programa;
g) definisanje i dokumentovanje nivoa autorizacije za sistemske pomoćne
programe;
h) uklanjanje ili onemogućenje svih nepotrebnih pomoćnih programa

zasnovanih na softveru kao i sistemskih softvera;
i) ne stavljane na raspolaganje sistemskih pomoćnih programa korisnicima koji
imaju pristup aplikacijama u sistemima u kojima se zahteva razdvajanje
zaduženja.
Ostale informacije
Najveći broj instalisanih računara sadrži po jedan ili više sistemskih pomoćnih
programakoji mogu imati sposobnost prevladavanja sistemskih ili aplikacijskih kontrola.
20.5.5. Time-out sesije

Kontrola
Treba definisati period nakon kojeg se neaktivne sesije isključuju.
Sredstvo za vremensko ograničenje treba da sa ekrana izbriše sve sadržaje započete
sesije, a naknadno, posle definisanog perioda neaktivnosti, može takođe da prekine sesije
sa aplikacijom i mrežom. Odlaganje prekida po isteku vremenskog ograničenja treba da
odrazi rizike po sigurnost u određenoj oblasti, klasifikovanost informacija sa kojima se radi
iaplikacija koje se koriste, kao i rizike u odnosu na korisnike opreme.
U nekim sistemima mogu se primeniti uprošćena sredstva vremenskog ograničenja
kojima se briše sadržaj ekrana i sprečava neovlašćeni pristup ali koja ne prekidaju sesiju
saaplikacijom ili sa mrežom.
Ostale informacije
Ova kontrola je posebno važna na lokacijama visokog rizika, koje uključuju javna
mesta ilimesta izvan domašaja upravljanja sigurnošću u organizaciji. Sesije treba prekidati
kako bi se sprečio pristup neovlašćenim osobama i napadi odbijanja usluge.
20.5.6. Ograničavanje trajanja konekcije

Kontrola
Za obezbeđenje dodatne zaštite poslova visokog rizika, uvodi se restrikcija na trajanje
konekcije.
Kontrole vremenskog trajanja priključenja treba predvideti kod rada sa osetljivim
računarskim aplikacijama, posebno sa onima na lokacijama visokog rizika, npr., u javnim
iudaljenim oblastima koje su izvan domašaja upravljanja sigurnošću u organizaciji. Primeri
takvih ograničenja obuhvataju:
a) korišćenje unapred utvrđenih vremenskih perioda, npr., kod prenošenja
datoteka u paketima ili kod normalnih uzajamno interaktivnih sesija kratkog
trajanja;
b) ograničavanje trajanja priključenja na normalno radno vreme ustanove,
ukoliko nepostoje potrebe za prekovremenim ili produženim radom;
c) ponovno utvrđivanje verodostojnosti u određenim vremenskim intervalima.
Ostale informacije
84
Ograničavanje perioda tokom kojeg su dozvoljena priključenja na računarske usluge
smanjuje prostor (okvir) povoljnim prilikama za neovlašćeno pristupanje.
Ograničenjetrajanja aktivnosti sesija sprečava korisnike da vezu drže otvorenu kako bi
izbegli ponovnu proveru verodostojnosti.
20.6. Kontrola pristupa aplikacijama i informacijama

Cilj: Onemogućiti neautorizovani pristup informacijama aplikativnih sistema.
Sredstva sigurnosti treba koristiti za ograničavanje pristupa aplikativnim sistemima,
kao iunutar njih.
Logički pristup aplikacijskom softveru i informacijama treba ograničiti na ovlašćene
korisnike.
Aplikacijski sistemi treba:
a) da kontolišu pristup korisnika informacijama i funkcijama aplikacijskih
sistema, uskladu sa definisanom politikom kontrole pristupa;
b) da pružaju zaštitu od neovlašćenog pristupa pomoću bilo kojeg pomoćnog
programa, operativnog sistemskog softvera i malicioznih softvera koji su
sposobni da prevladaju ili zaobiđu sistemske ili aplikacijske kontrole;
c) da ne kompromituju druge sisteme sa kojima se informacioni resursi
zajednički koriste.
20.6.1. Restrikcije na pristup informacijama

Kontrola
U skladu sa definisanom politikom kontrole pristupa, za korisnike i osoblje za podršku
treba uvesti restrikcije pristupa informacijama i funkcijama aplikativnog sistema.
Ograničenja pristupa treba da se zasnivaju na pojedinačnim zahtevima
poslovnihaplikacija. Politika kontrole pristupa treba takođe da je dosledna sa politikom
organizacije prema pristupanju (videti 20.1).
Da bi se podržali zahtevi za ograničenje pristupa, treba uzeti u obzir sledeće
smernice:
a) obezbeđenje menija (opcija) za kontrolu pristupa funkcijama aplikativnog
sistema;
b) kontrola prava korisnika na pristup, npr., na čitanje, upisivanje, brisanje ili
izvršavanje;
c) kontrola prava drugih aplikacija na pristup;
d) osiguravanje da podaci na izlazu iz aplikativnih sistema u kojima se postupa
sa osetljivim informacijama sadrže samo informacije koje se odnose na
korišćenje tihi zlaznih podataka i da se oni šalju samo prema ovlašćenim
terminalskim uređajima i lokacijama; ovo treba da uključi periodično
preispitivanje takvih izlaznih podatakakako bi se osiguralo da se suvišne
informacije uklanjaju.
20.6.2. Izolacija osetljivih sistema

Kontrola
Osetljivi sistemi treba da su smešteni u posebno (izolovano) računarsko okruženje.
Kod izdvajanja osetljivih sistema treba uzeti u obzir sledeće:
a) osetljivost aplikacijskog sistema treba da eksplicitno utvrdi i dokumentuje
vlasnik određene aplikacije (videti 16.1.2);
b) kada neku osetljivu aplikaciju treba izvršavati u zajedničkom okruženju,
vlasnik teosetljive aplikacije treba da identifikuje i prihvati aplikativne sisteme
sa kojima će se resursi zajednički koristiti i snositi odgovarajući rizici.
Ostale informacije Neki aplikacijski sistemi su dovoljno osetljivi na moguće gubitke,
da zahtevaju posebno postupanje. Ova osetljivost može ukazivati na to da takav
aplikacijski sistem zahteva:
a) izvršavanje na nekom određenom računaru;
b) da resurse zajednički koristi samo sa proverenim aplikacijskim sistemima.
Izdvajanje se može ostvariti primenom fizičkih i logičkih metoda (videti takođe
11.4.5).
20.7. Prenosivi računarski uređaji i rad sa udaljenosti

(teleworking)
Cilj: Obezbediti zaštitu informacija prilikom korišćenja prenosivih uređaja i rada sa
udaljenosti.
Zaštita koja se zahteva treba da bude primerena rizicima do kojih dovodi ovakav
način rada. Kada se koristi prenosivi računar, u obzir treba uzeti rizike od rada u
nezaštićenom okruženju i treba primeniti odgovarajuću zaštitu. U slučaju rada sa daljine,
organizacijatreba da primeni zaštitu na udaljenom mestu kao i da osigura da se uspostave
odgovarajući uslovi za ovakav način rada.
20.7.1. Rad i komunikacije sa prenosivim računarskim uređajima

Kontrola
Treba uspostaviti formalnu politiku i usvojiti odgovarajuće mere zaštite od rizika pri
radu sa prenosivim računarskim uređajima i komunikacionim sredstvima.
Kada se koriste prenosiva (mobilna) računarska i komunikaciona sredstva, npr.,
beležnice, organizatori, računari koji se drže na krilu, kartice sa čipom i mobilni telefoni,
trebapreduzeti posebne mere kako bi se osiguralo da se poslovne informacije ne
kompromituju.Politika rada na prenosivim računarima treba da uzme u obzir rizike pri
radu na prenosivoj računarskoj opremi u nezaštićenim okruženjima.
Politika rada sa prenosivim računarima treba da obuhvati zahteve za fizičku zaštitu,
kontrole pristupa, kriptografske postupke, izradu rezervnih kopija i zaštitu od virusa.
86
Ovapolitika takođe treba da sadrži pravila i savete za priključivanje prenosivih sredstava
namreže i uputstva za korišćenje ovih sredstava na javnim mestima.
Pažnju treba obratiti prilikom korišćenja prenosivih sredstava na javnim mestima, u
salama za sastanke i u drugim nezašćtićenim oblastima izvan prostorija
organizacije.Zaštita treba da je postavljena tako da se izbegne neovalašćeni pristup ili
razotkrivanjeinformacija koje se čuvaju i procesiraju u tim sredstvima, npr., primenom
kriptografskihpostupaka (videti 12.3).
Kada takva sredstva koriste na javnim mestima, korisnici treba da obrate pažnju da
seizbegne rizik od posmatranja neovlašćenih osoba. Treba da su ugrađene procedure
protivmalicioznih softvera koje treba redovno ažurirati (videti 10.4).
Treba redovno praviti rezervne kopije kritičnih poslovnih informacija. Na
raspolaganjutreba da bude oprema za brzu i laku izradu rezervnih kopija informacija. Za
ove rezervne kopije treba da postoji odgovarajuća zaštita, npr., od krađe ili gubitka
informacija.
Pogodna zaštita treba da se pruži kod korišćenja prenosivih sredstava kada se ona
priključuju na mreže. Daljinsko pristupanje poslovnim informacijama preko javnih mreža
korišćenjem prenosivih sredstava treba da se odvija tek posle uspešne identifikacije
iprovere njihove verodostojnosti, pomoću ugrađenih odgovarajućih mehanizama za
kontrolu pristupa (videti 11.4).
Prenosiva računarska sredstva treba i fizički zaštititi protiv krađe posebno kada se
ona ostavljaju, na primer u automobilu i drugim oblicima transporta, hotelskim sobama,
konferencijskim centrima i mestima sastanaka. Treba uspostaviti specifičnu
procedurukojom se uzimaju u obzir pravni i zahtevi osiguranja za zaštitu u organizaciji, za
slučajkrađe ili gubitka prenosivih računarskih sredstava. Opremu koja sadrži važne,
osetljive i/ili kritične poslovne informacije ne treba ostavljati bez nadzora, a gde je to
moguće, treba jefizički zaključati, ili treba koristiti specijalne bravice za njihovo
osiguravanje (videti 9.2.5).
Treba sprovesti obuku osoblja koje koristi prenosive računare, da bi se poboljšala
njihovaobaveštenost o dodatnim rizicima do kojih dolazi usled ovakvog načina rada i
kontrolama koje treba implementirati.
Ostale informacije
Mobilni bežični priključci na mreže slična su drugim tipovima priključaka na mreže, ali
postoje važne razlike koje treba uzeti u obzir prilikom identifikovanja kontrola. Tipične
razlike su
a) neki protkoli za sigurnost kod bežičnog rada su nedovoljno sazreli i imaju
poznate slabosti;
b) može se desiti da se za informacije sadržane u prenosivim računarima ne
prave rezervne kopije zbog ograničene širine opsega u mrežama i/ili zato što
prenosivi uređaj nije priključen u trenucima kada je predviđena izrada
rezervnih kopija.
20.7.2. Rad sa udaljenosti (Teleworking)

Kontrola
Razviti i implementirati politiku, operativne planove i procedure za aktivnosti

teleworking-a.
Organizacije treba da autorizuju rad sa udaljenosti samo ako su zadovoljne sa
uspostavljenim odgovarajućim sistemima sigurnosti i kontrolama i ako su oni u skladu
sapolitikom sigurnosti u organizaciji.
Na udaljenoj lokaciji treba da je postavljena odgovarajuća zaštita, npr., protiv krađe
opremei informacija, neovlašćenog razotkrivanja informacija, neovlašćenog daljinskog
pristupa unutrašnjim sistemima organizacije ili zloupotrebe sredstava. Menadžment treba
kako da autorizuje tako i da kontroliše aktivnosti rada sa daljine, kao i da su
napravljeniodgovarajući dogovori za ovakav način rada.
U obzir treba uzeti sledeće:
a) postojeću fizičku sigurnost na mestu rada sa udaljenosti, uzimajući u obzir
fizičku sigurnost zgrade i lokalnog okruženja;
b) predloženo fizičko okruženje za rad sa udaljenosti;
c) zahteve za sigurnost komunikacija, uzimajući u obzir potrebe za daljinsko
pristupanje internim sistemima organizacije, osetljivost informacija kojima
sepristupa i koje se šalju preko komunikacionih veza, kao i osetljivost internih
sistema;
d) pretnju neovlašćenog pristupa informacijama ili resursima od strane drugih
ljudikoji koriste isti smeštaj, npr., rodbine i prijatelja;
e) korišćenje kućnih mreža i zahteve ili ograničenja na konfiguraciji usluga u
bežičnojmreži;
f) politike i procedure da bi se sprečili sporovi u pogledu prava na intelektualnu
svojinu kod uređaja u privatnoj svojini;
g) pristup uređajima koji su u privatnom vlasništvu (da bi se proverila sigurnost
mašine ili tokom istrage), koji zakon može sprečavati;
h) sporazumi u vezi licenci za softver koji su takvi da organizacija može da
podleže koddavanja licence za softver klijentu na radnoj stranici koja je u
privatnom poseduosoblja, izvođača radova ili korisnika sa treće strane;
i) zaštita od virusa i zahtevi za zaštitne pregrade.
Smernice i dogovori koje treba uzeti u obzir:
a) obezbeđenje pogodne opreme i nameštaja za smeštaj kod rada sa
udaljenosti, gdenije dozvoljeno korišćenje privatne opreme koja nije pod
kontrolom organizacije;
b) definisanje dozvoljenog rada, radnog vremena, klasifikovanje informacija
koje mogu biti sadržane i interni sistemi i usluge za koje je udaljeni radnik
ovlašćen da im pristupa;
c) obezbeđenje pogodne komunikacione opreme, uključujući metode za zaštitu
osiguravanja daljinskog pristupa;
d) fizičku sigurnost;
e) pravila i uputstva o pristupanju rođaka i posetilaca opremi i informacijama;
88
f) obezbeđivanje i održavanje hardverske i softverske podrške;
g) obezbeđivanje osiguranja;
h) procedure za izradu rezervnih kopija i za kontinuitet poslovanja;
i) proveru i nadgledanje sigurnosti;
j) ukidanje ovlašćenja i prava na pristupanje i vraćanje opreme kada se
aktivnosti sa udaljenosti završe.
Ostale informacije
Kod rada sa udaljenosti primenjuju se komunikacione tehnologije kako bi se osoblju
omogućilo da radi sa udaljene lokacije izvan sopstvene organizacije.
21. Akvizicija, razvoj i održavanje informacionih

sistema
21.1. Bezbednosni zahtevi za informacione sisteme

Cilj: Obezbediti da zaštita bude integralni deo informacionih sistema.
Informacioni sistemi obuhvataju operativne sisteme, infrastrukturu, poslovne
aplikacije,gotove proizvode, usluge i aplikacije koje razvija korisnik. Projektovanje i
implementacija informacionog sistema za podršku poslovnog procesa mogu biti kritični po
sigurnost. Preprojektovanja i/ili implementacije informacionih sistema treba identifikovati
zahteve za sigurnost i o tome treba napraviti sporazum.
Sve zahteve za sigurnost, treba identifikovati u fazi izrade projektnih zahteva i treba
ihobrazložiti, sporazumno prihvatiti i dokumentovati kao deo u okviru ukupnog poslovnog
paketa za neki informacioni sistem.
21.1.1. Analiza i specifikacija bezbednosnih zahteva

Kontrola
Izjave poslovnih zahteva za novim informacionim sistemima, ili poboljšavanjima
postojećih, treba da specificiraju zahteve za kontrolama zaštite.
U specifikacijama zahteva za kontrole treba razmotriti automatizovane kontrole koje
treba ugraditi u informacioni sistem, kao i potrebu za podršku ručnih kontrola. Slična
razmatranja treba primeniti prilikom vrednovanja softverskih paketa koji se razvijaju
ilikupuju za poslovne primene.
Zahtevi za sigurnost i kontrole treba da odraze poslovnu vrednost informacione
imovine (videti i 7.2) i potencijalnu poslovnu štetu, koja može nastati usled otkaza ili
odsustva sigurnosti.
Sistemske zahteve za sigurnost informacija i procese za implementaciju sigurnosti
trebaintegrisati u ranim fazama projektovanja informacionih sistema. Kontrole koje se
uvedu ufazi projektovanja znatno su jeftinije za implementaciju i održavanje od onih koje
seuključuju tokom ili posle ugradnje.
Ako se proizvodi kupuju, treba se pridržavati formalnog procesa ispitivanja i nabavke.

Ugovori sa isporučiocem treba da obuhvate identifikovane zahteve za sigurnost.
Kadafunkcija sigurnosti u nekom predloženom proizvodu ne zadovoljava specificirane
zahteve, pre kupovine tog proizvoda treba ponovo razmotriti rizik koji se unosi i kontrole.
Kada je isporučena neka dodatna funkcija koja dovodi do rizika u pogledu sigurnosti, nju
treba onemogućiti ili treba preispitati predloženu strukturu kontrolisanja kako bi se
odredilo dali se mogu preuzeti prednosti koje pruža raspoloživa poboljšana funkcija.
Ostale informacije
Menadžment može, poželeti da koristi nezavisno ocenjene i sertifikovane proizvode,
ako to smatra odgovarajućim na primer zbog troškova. Dalje informacije o kriterijumima
zavrednovanje proizvoda iz oblasti sigurnosti IT mogu se naći u standardu ISO/IEC 15408
ili drugim standardima za ocenjivanje ili sertifikovanje, gde to odgovara.
Standard ISO/IEC TR 13335-3 daje smernice za primenu procesa upravljanja rizicima
da bi se utvrdili zahtevi za sigurnosne kontrole.
21.2. Ispravna obrada u aplikacijama

Cilj: Onemogućiti greške, gubitke, neautorizovane modifikacije ili zloupotrebe
informacija u aplikacijama.
Da bi se osigurala ispravno procesiranje, u aplikacijama treba da su
projektovaneodgovarajuće kontrole, uključujući aplikacije koje razvija korisnik. Ove
kontrole treba daobuhvate validaciju ulaznih podataka, unutrašnje procesiranje i izlazne
podatke.
Kod sistema u kojima se vrši procesiranje, ili koji imaju uticaja na osetljivu, vrednu ili
kritičnu imovinu organizacije, mogu biti potrebne dodatne kontrole. Takve kontrole
trebaodrediti na osnovu zahteva za sigurnost i ocenjivanja rizika.
21.2.1. Validacija ulaznih podataka

Kontrola
Validirati ulazne podatke aplikacija, radi obezbeđenja njihove ispravnosti i
usklađenosti.
Provere treba primenjivati na ulazu u poslovne transakcije, na stalne podatke (nazive
i adrese, kreditna ograničenja, referentne brojeve korisnika) i na tabele sa parametrima
(npr., prodajne cene, kurseve valuta, stope oporezivanja). Treba uzeti u obzir sledeće
smernice:
a) dvojnu proveru na ulazu ili druge ulazne provere, kao što je provera granica ili
ograničavanje polja na specifične opsege ulaznih podataka, kako bi se otkrile sledeće
greške:
1) veličine koje su izvan dozvoljenog opsega;
2) nevažeći znakovi u poljima podataka;
3) nedostajući ili nekompletni podaci;
90
4) premašenje gornje ili donje granice za veličinu (količinu) podataka;
5) neodobreni ili nedosledni (neujednačeni) podaci upravljanja;
b) periodično preispitivanje sadržaja ključnih polja ili datoteka sa podacima kako bi se
potvrdila njihova validnost i integritet;
c) pregledanje ulaznih štampanih dokumenata zbog mogućih neovlašćenih promena
na ulaznim podacima (sve izmene na ulazim dokumentima moraju biti autorizovane);
d) procedure za odziv na greške (nađene) pri validaciji;
e) procedure za ispitivanje verodostojnosti ulaznih podataka;
f) definisanje odgovornosti sveg osoblja koje učestvuje u postupku unošenja
podataka;
g) stvaranje zapisa o aktivnostima koje su uključene u procesiranje ulaznih podataka
(videti 10.10.1).
Ostale informacije
Da bi se smanjio rizik od grešaka i da bi se sprečili standardni napadi prepunjavanjem
međumemorije i ubacivanjem nekog koda, može se tamo gde odgovara
predvidetiautomatizovano ispitivanje i validacija ulaznih podataka.
21.2.2. Kontrola interne obrade

Kontrola
Za detektovanje korumpiranih informacija nastalih usled procesnih grešaka ili
namernih delovanja, aplikacije treba da imaju ugrađene mehanizme provere validnosti.
Projektovanje i implementacija aplikacija treba da osigura da se na minimum smanje
rizici od otkaza u procesiranju koji bi doveli do gubitka integriteta. Posebne oblasti koje
trebauzeti u obzir su:
a) korišćenje funkcija dodavanja, modifikovanja i brisanja radi implementacije
promena na podacima;
b) procedure za sprečavanje da se programi izvršavaju u pogrešnom redosledu ili
darade i posle otkaza u prethodnom procesiranju (videti takođe 10.1.1);
c) korišćenje odgovarajućih programa za oporavak posle otkaza kako bi se
osiguraloispravno procesiranje podataka;
d) zaštitu od napada prepunjavanjem međumemorije.
Treba pripremiti odgovarajući spisak za proveru, dokumentovati aktivnosti, a
rezultate treba čuvati na sigurnom. Primeri provera koje se mogu ugraditi uključuju
sledeće:
a) kontrole sesije ili paketa, radi uspostavljanja ravnoteže u datotekama podataka
posle ažuriranja transakcije;
b) kontrole uravnoteženja, za proveru uravnoteženosti na otvaranju prema ravnoteži
na prethodnom zatvaranju, naime:
1) kontrole izvršno - prema - izvršnom;
2) zbirovi ažuriranih datoteka;

3) kontrole program - prema - programu;
c) validacija sistemski generisanih ulaznih podataka (videti 12.2.1);
d) provere integriteta (celovitosti), verodostojnosti ili bilo koje druge sigurnosne
karakteristike podataka ili softvera koji se preuzimaju, ili koji se dostavljaju između
centralnog i udaljenog računara;
e) zbirovi heš funkcije primenjene na zapise i datoteke;
f) provere kako bi se osiguralo da se aplikativni programi izvršavaju u
ispravnomtrenutku;
g) provere da bi se osiguralo da se aplikacijski programi izvršavaju po ispravnom
redosledu i da se okončavaju u slučaju otkaza, kao i da se dalje procesiranje obustavlja
dok se problem ne razreši;
h) pravljenje zapisa o aktivnostima u toku procesiranja (videti 10.10.1).
Ostale informacije
Podaci koji su ispravno uneti mogu se oštetiti greškama u hardverskom delu,
greškama u njihovom procesiranju ili namerno. Potrebne provere validnosti zavise od
prirode aplikacijei poslovnih posledica od oštećenja bilo kojih podataka.
21.2.3. Integritet poruka

Kontrola
Treba Identifikovati zahteve za obezbeđenje autentičnosti i očuvanja integriteta
poruka u aplikacijama i odgovarajuće kontrole koje treba implementirati.
Treba sprovesti ocenjivanje rizika narušavanja sigurnosti kako bi se utvrdilo da li
sezahteva provera integriteta poruka i da bi se identifikovala metoda implementacije
kojanajbolje odgovara.
Ostale informacije
Kao odgovarajuće sredstvo za implementaciju provere verodostojnosti mogu se
primenjivatikriptografski postupci (videti 12.3).
21.2.4. Validacija izlaznih podataka

Kontrola
Da bi se obezbedilo da obrada uskladištenih podataka bude ispravna i da odgovara
datim okolnostima, treba izvršavati validaciju izlaznih podataka iz aplikacije .
Validacija na izlazu može da obuhvati:
a) provere uverljivosti kako bi se ispitalo da li podaci na izlazu imaju smisla;
b) usklađivanje broja kontrola kako bi se osiguralo procesiranje svih podataka;
92
c) pružanje čitaocu ili narednom sistemu za procesiranje, dovoljnih informacija da bi
se odredila tačnost, kompletnost, preciznost i klasifikovanost informacija;
d) procedure za odgovor na rezultate ispitivanja validnosti na izlazu;
e) definisanje odgovornosti za sve osoblje koje učestvuje u procesiranju podataka na
izlazu;
f) izradu zapisa o aktivnostima u procesu validacije podataka na izlazu.
Ostale informacije
Tipično, sistemi i aplikacije se izgrađuju na polaznoj pretpostavci da će se, kada su
preduzete odgovarajuća validacija, verifikovanje i ispitivanje, na izlazu uvek dobiti
ispravnirezultati. Ova pretpostavka međutim ne važi uvek; naime sistemi koji su ispitani
mogu u nekim okolnostima još uvek da proizvedu netačne rezultate na izlazu.
21.3. Kriptografske kontrole

Cilj: Kriptografskim mehanizmima zaštititi poverljivost i autentičnost (integritet)
informacija.
Treba izraditi politiku za primenu kriptografskih kontrola. Za podršku
kriptografskihpostupaka treba uspostaviti upravljanje ključevima.
21.3.1. Politika korišćenja kriptografskih kontrola

Kontrola
Treba uspostaviti politiku kriptografskih kontrola zaštite informacija.
Prilikom izrade politike korišćenja kriptografskih kontrola treba uzeti u obzir sledeće:
a) odnos menadžmenta prema korišćenju kriptografskih kontrola unutar cele
organizacije, uključujući opšte principe prema kojima bi poslovne informacije trebalo da
se štite (videti takođe 5.1.1);
b) zasnovano na oceni rizika po sigurnost, treba identifikovati potreban nivo
zaštiteuzimajući u obzir tip, snagu i kvalitet zahtevanog šifarskog algoritma;
c) primenu šifrovanja kod zaštite osetljivih informacija koje se transportuju u
mobilnim ili prenosivim medijumima, uređajima ili preko komunikacionih vodova;
d) odnos prema upravljanju ključevima, uključujući metode za zaštitu kritografskih
ključeva i za obnavljanje šifrovanih informacija u slučaju gubljenja, kompromitovanja ili
oštećenja ključeva;
e) uloge i odgovornosti, npr., ko je odgovoran za:
1) implementaciju politike;
2) upravljanje ključevima, uključujući generisanje ključeva (videti i 12.3.2);
f) standarde koje treba usvojiti za efektivnu primenu u celoj organizaciji (koje rešenje
se koristi u kojim poslovnim procesima);
g) uticaj korišćenja šifrovanih informacija na kontrole koje se oslanjaju na
proverusadržaja (npr., otkrivanje virusa).
Prilikom implementacije kriptografske politike organizacije, treba uzeti u obzir

regulativu inacionalna ograničenja koji mogu biti primenljivi na korišćenje kriptografskih
postupaka uraznim delovima sveta i na probleme protoka šifrovanih informacija preko
granica (videti takođe 15.1.6).
Kriptografske kontrole mogu se primenjivati da bi se ostvarili različiti ciljevi
sigurnosti, npr.
a) poverljivost: primenom šifrovanja radi zaštitite osetljivih ili kritičnih informacija,
koje se skladište ili se prenose;
b) integritet/verodostojnost: korišćenjem digitalnih potpisa ili kodova za
utvrđivanjeverodostojnosti radi zaštite verodostojnosti i integriteta osetljivih ili kritičnih
informacija, koje se skladište ili se prenose;
c) neporicanje: primenom kriptografskih postupaka kako bi se dobila potvrda
opojavljivanju ili nepojavljivanju nekog događaja ili akcije.
Ostale informacije
Donošenje odluke o tome da li kriptografsko rešenje odgovara treba posmatrati kao
deošireg postupka ocenjivanja rizika i odabiranja kontrola. Ovo ocenjivanje se potom
može koristiti da bi se utvrdilo da li kriptografska kontrola odgovara, koji tip kontrole
treba primeniti za koje svrhe i na koje poslovne procese.
Politika korišćenja kriptografskih kontrola je neophodna da bi se ostvarila
maksimalnakorist i da bi se na minimum smanjili rizici od primene kriptografskih
postupaka, kao i da bi se izbeglo neodgovarajuće ili nepravilno korišćenje. Kada se
primenjuju digitalni potpisi,treba uzeti u obzir sve moguće zakonske akte, posebno
zakonodavstvo koje opisuje uslove pod kojima digitalni potpis zakonski obavezuje (videti
15.1).
Treba potražiti savete specijalista da bi se utvrdio odgovarajući nivo zaštite i da bi se
definisale pogodne specifikacije kojima se obezbeđuje zahtevana zaštita i podržava
implementaciju sistema za sigurno upravljanje ključevima (videti i 12.3.2).
Komitet ISO/IEC JTC1 SC27 izradio je nekoliko standarda u vezi kriptografskih
kontrola.Dalje informacije mogu se takođe naći u dokumentima IEEE P1363 i OECD
Uputstvo o kriptografiji.
21.3.2. Upravljanje ključevima

Kontrola
Za podršku korišćenju kriptografskih mehanizama organizacijie, treba uspostaviti
proces upravljanja ključevima.
Svi kriptografski ključevi treba da su zaštićeni od modifikovanja, gubljenja i uništenja.
Pored toga tajni i privatni ključevi treba da su zaštićeni od neovlašćenog razotkrivanja.
Opremu za generisanje, čuvanje i arhiviranje ključeva treba fizički zaštititi.
Sistem za upravljanje ključevima treba da se zasniva na dogovorenom skupu
standarda,procedura i metoda zaštite kod:
a) generisanja ključeva za razne kriptografske sisteme i različite aplikacije;
94
b) generisanja i dobijanja sertifikata javnih ključeva;
c) distribuiranja ključeva namenjenim korisnicima, uključujući i način kako ključeve
treba aktivirati nakon prijema;
d) skladištenja ključeva, uključujući i način kako ovlašćeni korisnici dobijaju
pristupključevima;
e) zamene ili ažuriranja ključeva uključujući pravila o tome kada ključeve treba
zameniti i način kako to treba raditi;
f) postupanja sa kompromitovanim ključevima;
g) opozivanja ključeva uključujući način kako ključeve treba povući ili deaktivirati,
npr., kada su ključevi kompromitovani ili kada korisnik napušta organizaciju (u kom
slučaju ključeve treba i arhivirati);
h) obnavljanja ključeva koji su bili izgubljeni ili oštećeni kao dela
upravljanjakontinuitetom poslovanja, mpr. za obnavljanje šifrovanih informacija;
i) arhiviranja ključeva, npr., za arhivirane informacije ili za rezervne kopije;
j) uništavanja ključeva;
k) zapisivanja i provera aktivnosti u vezi upravljanja ključevima.
Da bi se umanjili izgledi za kompromitovanje, ključevi treba da imaju definisane
datumeaktiviranja i deaktiviranja tako da se mogu primenjivati samo u ograničenom
vremenskom periodu. Ovaj vremenski period treba da zavisi od okolnosti u kojima se
kriptografska kontrola primenjuje, kao i od sagledanih rizika.
Pored problema sigurnog upravljanja tajnim i privatnim ključevima, treba razmotriti i
verodostojnost javnih ključeva. Ovaj proces provere verodostojnosti se može obaviti
primenom sertifikata javnih ključeva, koje normalno izdaje telo ovlašeno za izdavanje
certifikata, koje treba da bude neka priznata organizacija sa uspostavljenim
odgovarajućim kontrolama i procedurama kako bi se obezbedio potreban stepen
poverenja.
Sadržaji sporazuma ili ugovora sa spoljnim isporučiocima kriptografskih usluga o
nivou tihusluga, npr., sa ovlašćenim telom za izdavanje certifikata, treba da obuhvate
probleme odgovornosti, pouzdanosti usluga i vremena odziva kod pružanja usluge (videti
6.2.3).
Ostale informacije
Za efektivnu primenu postupaka šifrovanja od suštinskog je značaja upravljanje
šifarskim ključevima. Dalje informacije o upravljanju ključevima date su u standardu
ISO/IEC 11770. Postoje dva tipa postupka šifrovanja:
a) postupci sa tajnim ključevima, kada dve ili više strana zajednički koriste jedan isti
ključ a taj ključ se primenjuje i za šifrovanje i za dešifrovanje informacija; ovaj ključ se
mora držati u tajnosti jer svako ko ima pristup tom ključu u stanju je da dešifruje sve
informacije šifrovane pomoću tog ključa, ili da korišćenjem tog ključa unese
neautorizovane informacije;
b) postupci sa javnim ključevima, kada svaki korisnik poseduje par ključeva, jedan
javni ključ (koji se može razotkriti bilo kome) i jedan privatni ključ (koji se moradržati u
tajnosti); postupci sa javnim ključem mogu se koristiti za šifrovanje i zaizradu digitalnih

potpisa (videti takođe ISO/IEC 9796 i ISO/IEC 14888).
Postoji pretnja da se digitalni potpis falsifikuje zamenjivanjem korisnikovog javnog
ključa. Ovaj problem se rešava primenom sertifikata javnog ključa.
Za zaštitu šifarskih ključeva mogu se primenjivati i kriptografski postupci. Može biti
potrebno da se uvedu procedure u pogledu pravnih zahteva za pristup šifarskim
ključevima, npr., kada je u nekom slučaju na sudu kao dokaz potrebno da informacije
budu dostupne u dešifrovanom obliku.
21.4. Zaštita sistemskih fajlova

Cilj: Obezbediti zaštitu sistemskih fajlova.
Treba kontrolisati pristup sistemskim datotekama i izvornom programu, a IT projekte
iaktivnosti za podršku treba sprovoditi na siguran način. Treba obratiti pažnju da
seizbegne izlaganje osetljivih podataka u ispitnom okruženju.
21.4.1. Kontrola operativnog softvera

Kontrola
Treba da postoje procedure za kontrolu instaliranja softvera na operativne sisteme.
Da bi se rizik od oštećenja operativnog sistema sveo na minimum, treba uzeti u obzir
sledeće smernice za kontrolu promena:
a) ažuriranje operativnog softvera, aplikacija i programskih biblioteka treba da
obavljaju samo osposobljeni administratori po dobijanju odgovarajućeg ovlašćenja
odmenadžmenta (videti 12.4.3);
b) operativni sistemi treba da sadrže samo odobrene izvršne kodove, a ne i
razvojnekodove ili kompilatore;
c) aplikacije i softver operativnog sistema treba implementirati tek posle obimnog
iuspešno sprovedenog ispitivanja; ova ispitivanja treba da obuhvate
ispitivanjaprimenljivosti, sigurnosti, uticaja na druge sisteme i pogodnosti za korišćenje,
atreba ih sprovoditi na zasebnim sistemima (videti takođe 10.1.4); treba osigurati dasu
sve odgovarajuće biblioteke izvornih programa ažurirane;
d) za održavanje kontrole nad svim implementiranim softverom kao i nad
sistemskom dokumentacijom treba primeniti sistem za kontrolu konfiguracije;
e) pre implementacije bilo kakvih promena treba uspostaviti strategiju povratka
naprethodno stanje;
f) kod svih ažuriranja na bibliotekama operatvnih programa treba održavati zapise za
proveru;
g) kao meru predostrožnosti za neočekivane situacije treba sačuvati prethodne
verzijeaplikativnog softvera;
96
h) starije verzije softvera treba arhivirati, zajedno sa svim potrebnim informacijama
iparametrima, procedurama, detaljima konfiguracije i softverom za podršku, sve dok se
podaci drže u arhivi.
Softver za operativni sistem koji je kupljen od nekog isporučioca, treba održavati na
nivou koji podržava taj isporučilac. Tokom vremena, prodavci softvera prestaju da
podržavaju starije verzije softvera. Organizacija treba da uzme u obzir rizike od oslanjanja
na softvere koji nemaju podršku.
Svaka odluka da se izvrši unapređenje novim izdanjem treba da uzme u obzir
poslovne zahteve za tu promenu, kao i sigurnost tog izdanja, tj. uvođenje novih funkcija
sigurnosti ili broj i ozbiljnost problema sigurnosti kojima podleže ta verzija. Za uklanjanje
ili smanjivanje slabosti u zaštiti, treba primeniti popravke softvera ako to pomaže (videti
takođe 12.6.1).
Fizički ili logički pristup treba isporučiocima davati samo kada je to neophodno radi
podrške i uz odobrenje menadžmenta. Aktivnosti isporučioca treba nadgledati.
Računarski softver može se oslanjati na softver i module od spoljnih isporučilaca, što
se mora nadgledati i kontrolisati kako bi se izbegle neovlašćene promene, koje bi mogle
uneti slabosti u sigurnost.
Ostale informacije
Operativne sisteme treba unapređivati samo kada za to postoji zahtev, npr., kada
postojeća verzija operativnog sistema više ne podržava poslovne potrebe. Unapređenja
ne trebauvoditi samo zato što je na raspolaganju nova verzija operativnog sistema. Nove
verzije operativnih sistema mogu biti manje sigurne, manje stabilne i slabije razumljive od
postojećih sistema.
21.4.2. Zaštita podataka za testiranje sistema

Kontrola
Testne podatke treba pažljivo odabrati, čuvati i kontrolisati.
Za potrebe ispitivanja treba izbegavati korišćenje operativnih baza podataka koje
sadržepodatke o ličnosti ili bilo koje druge osetljive informacije. Ako se za svrhu
ispitivanjakoriste informacije o ličnosti ili neke druge osetljive informacije, sve osetljive
detalje i sadržaje pre korišćenja treba ukloniti ili mmodifikovati tako da se ne mogu
prepoznati.Kada se za ispitivanje koriste operativni podaci, treba primenjivati sledeće
smernice:
a) pri ispitivanju aplikativnih sistema, treba primenjivati i procedure za kontrolu
pristupa koje se primenjuju na oprerativne aplikativne sisteme;
b) za svako kopiranje operativnih informacija u aplikativni sistem koji se ispituje treba
izdati posebno ovlašćenje;
c) operativne informacije treba odmah po završetku ispitivanja brisati iz aplikativnog
sistema koji se ispituje;
d) kopiranje i korišćenje operativnih informacija treba zapisivati kako bi se obezbedio
trag za proveru.
Ostale informacije
Kod sistemskog i ispitivanja za prihvatanje, najčešće su potrebne znatne količine

ispitnihpodataka koji su što je moguće bliži stvarnim operativnim podacima.
21.4.3. Kontrola pristupa izvornim programskim kodovima

Kontrola
Pristup izvornim programskim kodovima treba da bude restriktivan.
Pristup izvornom programskom kôdu i pripadajućim stavkama (kao što su planovi
razvoja,specifikacije, planovi verifikacije i planovi validacije) treba strogo kontrolisati, kako
bi se sprečilo uvođenje neautorizovanih funkcija i da bi se izbegle nenamerne promene.
Kôd izvornog programskog kôda, to se može ostvariti kontrolisanim centralnim
skladištenjem takvog koda, prvenstveno u bibliotekama izvornih programa. Da bi se
kontrolisao pristup bibliotekama izvornih programa i na taj način smanjila mogućnost
oštećenja računarskih programa, treba zatim uzeti u obzir sledeće smernice (videti takođe
11):
a) gde je to moguće, biblioteke sa izvornim programima ne treba držati u
operativnim sistemima;
b) izvornim programskim kôdom i bibliotekama izvornih programa treba upravljati u
skladu sa uspostavljenim procedurama;
c) osoblje za podršku ne treba da ima neograničeni pristup bibliotekama izvornih
programa;
d) ažuriranje biblioteka izvornih programa i pripadajućih stavki, kao i izdavanje
izvornih programa programerima treba sprovoditi tek po dobijanju
odgovarajućegovlašćenja;
e) izlistane programe treba čuvati u sigurnom okruženju (videti 10.7.4);
f) za sva pristupanja bibliotekama izvornih programa treba održavati zapis za
proveru;
g) održavanje i kopiranje biblioteka izvornih programa treba da podležu
strogimprocedurama za kontrolu promena (videti 12.5.1);
Ostale informacije
Izvorni programski kôd predstavlja program koji pišu programeri, čijom se
kompilacijom (i vezivanjem linkova) stvaraju izvršni programi. Određeni programski jezici
ne prave formalnu razliku između izvornog kôda i izvršnih programa jer se izvršni
programi stvaraju u trenutku kada se oni aktiviraju.
Standardi ISO 10007 i ISO/IEC 12207 daju više informacija o upravljanju
konfiguracijama iprocesu softverskog životnog ciklusa.
21.5. Zaštita procesa razvoja i podrške

Cilj: Održavati zaštitu softvera i informacija sistema aplikacija.
Treba strogo kontrolisati okruženja projektovanja i podrške.
98
Rukovodioci zaduženi za sisteme aplikacija treba takođe da budu odgovorni za
sigurnost uokruženju projektovanja ili podrške. Oni treba da osiguraju da se sve
predložene izmene nasistemu preispituju kako bi se proverilo da one ne narušavaju
sigurnost ni sistema nioperativnog okruženja.
21.5.1. Procedure za kontrolu promena

Kontrola
Implementacija promena treba biti kontrolisana primenom formalnih procedura za
kontrolu promena.
Da bi se oštećenja na informacionim sistemima svela na minimum, treba
dokumentovati i sprovoditi zvanične procerure za kontrolisanje promena. Uvođenje novih
sistema i većih izmena u postojeće sisteme treba da sledi posle formalnog procesa
dokumentovanja, specificiranja, ispitivanja, kontrolisanja kvaliteta i kontrolisane ugradnje.
Ovaj proces treba da obuhvati ocenjivanje rizika, analizu uticaja promena, kao
ispecificiranje potrebnih kontrola za sigurnost. Ovaj proces treba takođe da osigura da se
postojeće procedure za sigurnost i kontrolu neće kompromitovati, da je programerima
zapodršku dat pristup samo onim delovima sistema koji su neophodni za njihov rad, a da
je za svaku promenu ostvaren sporazum i dobijeno zvanično odobrenje.
Gde god je to izvodljivo, treba objediniti procedure za kontrolisanje promena
naoperativnom i na aplikacijskom sistemu (videti takođe 10.1.2). Procedure za
uvođenjepromena treba da obuhvate:
a) čuvanje zapisa o dogovorenim nivoima ovlašćenja;
b) osiguranje da se promene unose na zahtev ovlašćenih korisnika;
c) preispitivanje kontrola i procedura za zaštitu integriteta, kako bi se osiguralo da se
one uvođenjem promena neće kompromitovati;
d) identifikovanje svih softvera, informacija, entiteta u bazama podataka i hardvera
za koje je potrebna dopuna;
e) dobijanje formalnog odobrenja za detaljne ponude pre otpočinjanja rada;
f) osiguranje pre implementacije promena da ih autorizovani korisnici prihvataju;
g) osiguranje da se komplet sistemske dokumentacije ažurira posle dovršenja svake
izmene a da se stara dokumentacija arhivira ili odbaci;
h) održavanje kontrole nad svim verzijama softverskih ažuriranja;
i) održavanje traga za proveru svih zahteva za izmenama;
j) osiguranje da se u radnu dokumentaciju (videti 10.1.1) i procedure za korisnike po
potrebi unose izmene kako bi ostale odgovarajuće;
k) osiguranje da se ugradnja izmena događa u pravom trenutku i da to ne ometa
tekuće poslovne operacije.
Ostale informacije
Menjanje softvera može imati posledice na operativno okruženje.
Dobra praksa uključuje posebno okruženje u kojem se isprobava novi softver i koje je
odvojeno od okruženja razvoja i proizvodnog okruženja (videti takođe 10.1.4). Ovim
seobezbeđuje sredstvo za uspostavljanje kontrole nad novim softverom i omogućava
dopunskazaštita operativnih informacija koje se primenjuju za svrhu ispitivanja. Ovim
treba da buduobuhvaćene popravke, paketi usluga i druga ažuriranja. U kritičnim
sistemima ne treba primenjivati automatska ažuriranja, jer neka takva ažuriranja mogu
dovesti do otkaza kod kritičnih aplikacija (videti 12.6).
21.5.2. Tehničke revizije aplikacija nakon izmena na operativnom

sistemu
Kontrola
Nakon izmene na operativnim sistemima, kritične poslovne aplikacije treba revidirati
i testirati, da bi se potvrdilo da nema nepovoljnih uticaja rad ili bezbednost organizacije.
Ovaj proces treba da obuhvati:
a) preispitivanje procedura za kontrolu aplikacija i integriteta kako bi se osiguralo da
uvođenjem promena na operativnom sistemu oni ne budu narušeni;
b) osiguranje da će godišnji plan podrške i novčana sredstva biti dovoljni
zapreispitivanja i isprobavanje sistema koji proizlaze iz izmena na operativnomsistemu;
c) osiguranje da se obaveštavanje o izmenama na operativnom sistemu obezbedi na
vreme kako bi se omogućilo da se odgovarajuća preispitivanja i probe obave preugradnje;
d) osiguranje da se odgovarajuće izmene unose u planove za kontinuitet poslovanja
(videti tačku 14).
Određenoj grupi ili pojedincu treba uvesti odgovornost za praćenje ranjivosti i za
dopune i ispravke koje izdaje prodavac (videti 12.6).
21.5.3. Restrikcije na izmene softverskih paketa

Kontrola
Modifikacije na softverskim paketima treba izbegavati, ograničiti na neophodne, a
sve izmene treba da budu strogo kontrolisane.
Softverske pakete nabavljene od prodavca treba koristiti bez modifikacija, koliko god
je to moguće i izvodljivo. Kada je potrebno modifikovanje nekog softverskog paketa, treba
razmotriti sledeće:
a) rizik da se naruše ugrađene kontrole i postupci za očuvanje integriteta;
b) da li za to treba dobiti saglasnost od prodavca;
c) mogućnost da se zahtevane izmene dobiju od prodavca kao standardna
poboljšanja softvera;
d) posledice ukoliko, zbog unetih izmena, organizacija preuzme na sebe odgovornost
za održavanje softvera u budućnosti.
100
Ako su izmene neophodne, originalni softver treba zadržati a izmene treba primeniti
najasno identifikovanoj kopiji. Treba implementirati proces upravljanja ažuriranjem
softvera kako bi se osiguralo instalisanje najnovijih proverenih dopuna i aplikacijskih
ažuriranja zasve autorizovane softvere (videti 12.6). Sve izmene treba u potpunosti
isprobati idokumentovati, tako da se one mogu po potrebi ponovo primeniti na buduća
softverska poboljšanja. Ako je potrebno, modifikacije treba da ispita i validaciju da obavi
nezavisno telo za vrednovanje.
21.5.4. Curenje informacija

Kontrola
Preduprediti sve mogućnosti za curenje informacija.
Da bi se ograničio rizik od curenja informacija, npr., primenom i korišćenjem tajnih
kanala,u obzir treba uzeti sledeće:
a) pretraživanje medijuma i komunikacija namenjenih za izlaz u spoljni svet radi,
nalaženja skrivenih informacija;
b) maskiranje i modulisanje sistemskog i komunikacionog ponašanja kako bi se
smanjili izgledi da neka treća strana dobije mogućnost izvođenja informacija iztakvih
ponašanja;
c) korišćenje sistema i softvera za koje se smatra da imaju visoki integritet, npr.,
korišćenjem proizvoda potvrđenih vrednovanjem (videti ISO/IEC 15408);
d) redovno nadgledanje aktivnosti osoblja i sistema, kada je to dozvoljeno
postojećim zakonima ili regulativom;
e) nadgledanje korišćenje resursa u računarskim sistemima.
Ostale informacije
Tajni kanali su putevi koji nisu namenjeni da sprovode tokove informacija, ali koji
ipak mogu postojati u sistemu ili mreži. Na primer, kao prikrivena metoda signalisanja
može sekoristiti manipulisanje bitovima u paketima komunikacionih protokola. Prema
njihovoj prirodi, teško je ako ne i nemoguće, sprečiti postojanje svih mogućih tajnih
kanala. Međutim, eksploatisanje takvih kanala se često sprovodi pomoću Trojanskog
konja (videti takođe 10.4.1). Preduzimanjem mera za odbranu od Trojanskog konja na taj
način se smanjuje rizik od korišćenja tajnih kanala.
Kod zaštite od tajnih kanala, pomaže sprečavanje neovlašćenog pristupa na mrežu
(11.4),kao i politika i procedure odvraćanja osoblja od zloupotrebe informacionih usluga
(15.1.5).
21.5.5. Razvoj softvera van organizacije (outsourcing)

Kontrola
Organizacija treba da kontroliše i nadgleda spoljašnje usluge razvoja softvera.
Uputstvo za implementaciju Kada se softver razvija u izmeštenim resursima, treba
uzeti u obzir sledeće:
a) sporazume o licencnim pravima, vlasništvo nad kodovima i prava na intelektualnu
svojinu (videti 15.1.2);
b) sertifikovanje kvaliteta i tačnosti posla koji se obavlja;

c) sporazume o garancijama u slučaju otkaza treće strane;
d) prava na pristup radi provere kvaliteta i tačnosti obavljenog posla;
e) ugovornim zahtevima za kvalitet i funkcije zaštite u kodu;
f) proverama pre ugradnje radi otkrivanja malicioznih kodova i Trojanskog konja.
21.6. Upravljanje tehničkom ranjivošću

Cilj: Redukovati rizike uticaja eksploatacije publikovanih tehničkih ranjivosti.
Upravljanje tehničkim ranjivostima treba implementirati na efektivan, sistematičan i
ponovljiv način sa merenjima koja se preduzimaju radi potvrđivanja njegove efektivnosti.
Ova razmatranja treba da obuhvate operativne sisteme i bilo kojih drugih aplikacija koje
se koriste.
21.6.1. Kontrola tehničkih ranjivosti

Kontrola
Informacije o tehničkim ranjivostima korišćenih informacionih sistema treba da budu
aktuelne, izloženost organizacije takvim ranjivostima treba evaluirati i primeniti
odgovarajuće kontrole odnosnog rizika.
Preduslov za efikasno upravljanje tehničkim ranjivostima je postojanje ažurnog
ikompletnog inventara imovine (videti 7.1). Specifične informacije koje su potrebne za
podršku upravljanja tehničkim ranjivostima obuhvataju prodavca softvera, brojeve verzija,
tekuće stanje razmeštaja (npr., koji je softver instalisan na kojem sistemu), kao i osobe
unutar organizacije koje su odgovorne za taj softver.
Kao odgovor na identifikovane moguće tehničke ranjivosti treba preduzeti
odgovarajuće blagovremene aktivnosti. Da bi se uspostavio efikasan proces upravljanja
ranjivošću softvera treba se pridržavati sledećih smernica:
a) organizacija treba da definiše i uspostavi uloge i odgovornosti u vezi upravljanja
tehničkim ranjivostima, uključujući nadgledanje ranjivosti, ocenjivanje rizika usled
ranjivosti, popravke, sledljivost imovine i bilo koje odgovornosti za potrebna
koordinisanja;
b) za softverske i druge tehnologije (zasnovane na spisku imovine, videti 7.1.1) treba
identifikovati informacione resurse za identifikovanje odgovarajućih tehničkih ranjivosti i
za održavanje znanja o njima; ove informacione resurse treba ažuriratina osnovu izmena u
inventaru, ili kada se iznađu novi ili drugi korisni resursi;
c) treba definisati vremenski raspored reagovanja na obaveštenje o mogućim
tehničkim ranjivostima;
d) kada je moguća tehnička ranjivost identifikovana, organizacija treba da identifikuje
pripadajuće rizike i akcije koje treba preduzeti; takve akcije mogu da obuhvatepopravke
ranjivih sistema i/ili primenu drugih kontrola;
102
e) zavisno od toga koliko hitno treba neku tehničku ranjivost uzeti u razmatranje,
preduzetu aktivnost treba sprovesti u skladu sa kontrolama koje su vezane za upravljanje
izmenama (videti 12.5.1) ili sprovođenjem procedura za odgovor na incidente narušavanja
sigurnosti (videti 13.2);
f) ako je popravka na raspolaganju, treba oceniti rizike u vezi ugradnje te
popravke(rizike koji nastaju usled ranjivosti treba uporediti sa rizikom usled ugradnje
tepopravke);
g) popravke treba isprobati i vrednovati pre nego što se one ugrade kako bi se
osiguralo da one budu efektivne i da ne dovode do sporednih uticaja koji se ne mogu
tolerisati;ako popravka nije na raspolaganju, treba razmotriti druge kontrole kao što su:
1) deaktiviranje usluga ili mogućnosti koje su u vezi sa ranjivošću;
2) prilagođavanje ili dodavanje kontrola pristupa, npr., zaštitnih pregrada na
granicama mreže (videti 11.4.5);
3) pojačano nadgledanje kako bi se otkrili ili sprečili postojeći napadi; i
4) povećanje obaveštenosti o ranjivosti;
h) o svim preduzetim procedurama treba praviti zapise za proveru;
i) proces upravljanja tehničkim ranjivostima treba redovno nadgledati i
vrednovatikako bi se osigurala njegova efektivnost i efikasnost;
j) prvo treba uzeti u razmatranje sisteme sa visokim rizikom.
Ostale informacije
Ispravno funkcionisanje procesa upravljanja tehničkim ranjivostima u organizaciji
kritično je za mnoge organizacije i treba ga zato redovno nadgledati. Da bi se
osiguraloidentifikovanje mogućih tehničkih ranjivosti, od suštinskog značaja je tačan popis
inventara.
Upravljanje tehničkim ranjivostima može se posmatrati kao podfunkcija
upravljanjapromenama i kao takva može koristiti postupke i procedure za upravljanje
promenama (videti 10.1.2 i 12.5.1).
Prodavci su često pod znatnim pritiskom da popravke objave što je pre moguće. Zbog
toganeka popravka možda neće odgovarajuće rešiti problem a može imati i negativne
sporedne uticaje. Takođe u nekim slučajevima kada je popravka već primenjena, možda
neće biti moguće da se ona lako ukloni.
Ako odgovarajuće isprobavanje popravke nije moguće, npr., zbog troškova ili
nedostatka resursa, popravka se može odložiti da bi se vrednovali pripadajući rizici,
zasnovani na iskustvima drugih korisnika.
22. Upravljanje bezbednosnim incidentom
22.1. Izveštavanje o bezbednosnim događajima i slabostima

Cilj: Prijavljivati bezbednosne događaje i slabosti, na način koji obezbeđuje
pravovremeno reagovanje korektivnim akcijama.
Treba da postoje formalne procedure za izveštavanje i širenje činjenica o događajima

u vezisigurnosti. Sve zaposlene, izvođače radova i korisnike sa treće strane treba upoznati
sa procedurama za izveštavanje o raznim tipovima događanja i slabostima koji mogu imati
posledice po sigurnost imovine organizacije. Od njih treba zahtevati da izveštavaju o
bilokom događaju u vezi sigurnosti ili slabostima što je pre moguće preko naznačenog
mesta za kontakt.
22.1.1. Prijavljivanje bezbednosnih događaja

Kontrola
Bezbednosne događaje treba brzo prijavljivati putem odgovarajućih upravljačkih
kanala.
Treba uspostaviti proceduru zvaničnog izveštavanja o događajima u vezi
sigurnostiinformacija, zajedno sa procedurom za odgovor na incidente i napade,
isticanjem akcije kojutreba preduzeti po prijemu izveštaja o nekom događaju u vezi
sigurnosti informacija. Treba uspostaviti mesto kontakta za izveštavanje o događajima u
vezi sigurnosti informacija.Treba osigurati da je ovo mesto kontakta poznato u celoj
organizaciji, da je uvek raspoloživo i da je u stanju da obezbedi adekvatan i blagovremeni
odgovor.
Svi zaposleni, izvođači radova i korisnici sa treće strane treba da su upoznati sa
njihovom odgovornošću da o događajima u vezi sigurnosti informacija izveštavaju što je
moguće brže. Oni takođe treba da su upoznati sa procedurom izveštavanja o događajima
u vezi sigurnostiinformacija i mestom za kontakt. Procedure izveštavanja treba da
obuhvate:
a) pogodne procese za povratno informisanje kako bi se osiguralo da se oni koji su
izvestili o događajima u vezi sigurnosti informacija obaveste o rezultatimaintervencije u
vezi tih problema i zatvaranja slučaja;
b) formulare za izveštavanje o događajima u vezi sigurnosti radi podrške
aktivnostiizveštavanja, kako bi se osobi koja izveštava olakšalo da se priseti svih
neophodnih aktivnosti za slučaj događaja u vezi sigurnosti;
c) ispravno ponašanje koje treba preduzeti za slučaj događaja u vezi sigurnosti, tj.:
1) neodložno zapisivanje svih važnih detalja (npr., tipa neusklađenosti ili proboja,
pojave neispravnog funkcionisanja, poruka na ekranu, neobičnogponašanja);
2) nečinjenje bilo kakve aktivnosti na svoju ruku, već neodložno izveštavanje
napredviđenom mestu za kontakt;
d) pozivanje na uspostavljeni zvanični disciplinski postupak prema zaposlenima,
izvođačima radova ili korisnicima sa treće strane koji učine prekršaj sigurnosti.
U okruženjima visokog rizika, može se obezbediti tzv. alarm prinude 4 pri čemu na
takve probleme može da ukaže osoba koja je pod prinudom. Procedure za odgovor na
alarm prinude treba da odraze situaciju visokog rizika na koju ukazuju takvi alarmi.
Ostale informacije
Primeri događaja u vezi sigurnosti i incidenata narušavanja sigurnosti informacija su:
104
a) gubitak usluge, opreme ili sredstava;
b) neispravna funkcionisanja sistema ili preopterećenja;
c) ljudske greške;
d) neusklađenosti sa politikama ili smernicama;
e) kršenja fizičke zaštite;
f) nekontrolisane promene na sistemu;
g) neispravno funkcionisanje softvera ili hardvera;
h) prekršaji u vezi pristupa.
Uz dužnu pažnju sa gledišta poverljivosti, incidenti narušavanja sigurnosti informacija
semogu koristiti za obuku korisnika (videti 8.2.2) kao primeri šta bi se moglo dogoditi,
kakoodgovoriti na takve incidente i kako da se oni izbegnu u budućnosti. Da bi se incidenti
odgovarajuće razmotrili može biti potrebno da se dokazi prikupe što je moguće brže
poslenjihovog pojavljivanja (videti 13.2.3).
Pogrešno funkcionisanje ili druga anomalijska ponašanja sistema mogu ukazivati na
napade ili postojeće kršenje sigurnosti i zato o njima treba uvek izveštavati kao mogućim
događajima u vezi sigurnosti informacija.
Više informacija o izveštavanju o događanjima u vezi sigurnosti informacija i
upravljanjuincidentima narušavanja sigurnosti informacija može se naći u ISO/IEC TR
18044.
22.1.2. Prijavljivanje bezbednosnih slabosti

Kontrola
Od svih zaposlenih, ugovornih i trećih strana koji koriste informacione sisteme i
servise, treba zahtevati da beleže i prijavljuju uočene ili sumnjive slabosti zaštite sistema
ili servisa.
Svi zaposleni, izvođači radova ili korisnici sa treće strane treba da izveštavaju o
timstvarima bilo svoj menadžment ili direktno svog davaoca usluge (servisa) što je
moguće brže kako bi se incidenti narušavanja sigurnosti informacija sprečili. Mehanizam
izveštavanja treba da je lak, dostupan i na raspolaganju koliko je moguće. Zaposlene treba
informisati daoni, ni u kakvim okolnostima, ne treba da pokušavaju da dokažu slabost na
koju se sumnja.
44
Alarm prinude predstavlja metodu za tajno ukazivanje na to da se neka aktivnost
događa "pod prinudom"
Ostale informacije
Zaposlenima, izvođačima radova i korisnicima sa treće strane treba savetovati da ne
pokušavaju da dokažu slabost na koju se sumnja. Provera slabosti može se protumačiti
kao potencijalna zloupotreba sistema a može prouzrokovati oštećenje na informacionom
sistemuili usluzi i dovesti do zakonske odgovornosti osobe koja vrši takvu proveru.
22.2. Upravljanje bezbednosnim incidentima i poboljšanje

Cilj: Obezbediti konzistentan i efektivan pristup upravljanju bezbednosnim
incidentima.
Treba uspostaviti odgovornosti i procedure za efektivno postupanje sa događajima u
vezisigurnosti informacija i slabostima kada se o njima podnese izveštaj. Treba
primenitipostupak stalnog poboljšavanja odgovora, nadgledanja, vrednovanja i ukupnog
upravljanjaincidentima narušavanja sigurnosti informacija.
Kada se zahtevaju dokazi, njih treba prikupljati kako bi se osigurala usklađenost sa
zakonskim zahtevima.
22.2.1. Odgovornosti i procedure

Kontrola
Uspostaviti procedure i odgovornosti menadžmenta, kako bi se obezbedilo brzo,
efektivno i uređeno reagovanje na bezbednosne incidente.
Pored izveštavanja o događanjima u vezi sigurnosti informacija i slabostima (videti
takođe 13.1), za otkrivanje incidenata narušavanja sigurnosti informacija treba primeniti
nadgledanje sistema i upozorenja o slabostima (videti 10.10.2). Kod procedura
upravljanjaza slučaj incidenta narušavanja sigurnosti informacija, treba uzeti u obzir
sledeće smernice:
a) treba uspostaviti procedure za postupanje sa raznim tipovima incidenata
narušavanja sigurnosti informacija, uključujući:
1) otkaze informacionih sistema i gubitak usluga;
2) maliciozne kodove (videti 10.4.1);
3) odbijanje usluge;
4) greške koje su rezultat nekompletnih ili netačnih poslovnih podataka;
5) kršenje poverljivosti i integriteta;
6) zloupotrebu informacionih sistema;
b) pored normalnih planova za neočekivane situacije (videti 14.1.3), procedure treba
takođe da obuhvate (videti i 13.2.2):
1) analizu i identifikovanje uzroka incidenta;
2) sprečavanje širenja;
3) planiranje i implementaciju korektivnih mera da bi se sprečilo ponavljanje, ukoliko
je to potrebno;
4) komuniciranje sa onima na koje utiče ili koji su uključeni u oporavak posle
incidenta;
5) izveštavanje odgovarajućeg ovlašćenog o takvoj akciji;
c) kada to odgovara, treba prikupljati i osigurati tragove za proveru i slične dokaze
(videti 13.2.3) radi:
106
1) analize unutrašnjih problema;
2) korišćenja sudskih dokaza u vezi potencijalnih kršenja ugovora ili zahteva iz
regulative ili u slučaju prekršajnih ili krivičnih postupaka, npr., iz zakona ozloupotrebi
računara ili zaštite podataka;
3) pregovaranja o naknadi od strane isporučioca softvera ili usluge;
d) treba pažljivo i formalno kontrolisati akcije za oporavak od kršenja zaštite i
popravkama otkaza na sistemu; procedure treba da osiguraju da:
1) pristup sistemima koji su u radu i podacima bude dozvoljen samo jasno
identifikovanom i ovlašćenom osoblju (videti takođe 6.2 o pristupu spolja);
2) sve akcije koje se preduzimaju u vanrednim situacijama budu detaljno
dokumentovane;
3) da se o vanrednim akcijama izvesti menadžment i da se one preispitaju na uređen
način;
4) da se integritet poslovnih sistema i kontrole potvrđuju uz minimalno kašnjenje.
O ciljevima upravljanja incidentima narušavanja sigurnosti informacija treba se
dogovoritisa menadžmentom i treba osigurati da oni koji su odgovorni za upravljanje u
slučajuincidenata narušavanja sigurnosti informacija razumeju prioritete organizacije kod
postupanja sa takvim incidentima.
Ostale informacije
Incidenti narušavanja sigurnosti informacija mogu prevazići granice organizacije ili
države. Da bi se odgovorilo na takve incidente postoji rastuća potreba za koordinisanjem
odgovora irazmenu informacija o incidentima sa spoljnim organizacijama kada to
odgovara.
22.2.2. Učenje na bezbednosnim incidentima

Kontrola
Treba uspostaviti mehanizme za monitoring i kvantifikovanje tipova, jačine i cene
bezbednosnih incidenata.
Informacije dobijene na osnovu vrednovanja incidenata narušavanja sigurnosti
informacijatreba koristiti kako bi se identifikovali ponavljajući incidenti ili oni sa većim
posledicama.
Ostale informacije
Vrednovanje incidenata narušavanja sigurnosti informacija može ukazati na potrebu
zaproširenim ili dodatnim kontrolama kako bi se ograničili učestalost, šteta ili troškovi
budućih pojavljivanja, ili da bi se to uzelo u obzir prilikom procesa preispitivanja
politikesigurnosti (videti 5.1.2).
22.2.3. Prikupljanje dokaza

Kontrola
Kada posle nekog bezbednosnog incidenta, protiv fizičkog lica ili organizacije usledi
pravno gonjenje (prekršajno ili krivično), potrebno je imati prikupljene i sačuvane dokaze,
koji se podnose nadležnom organu u skladu sa pravilima dokazivanja koje definiše

odgovarajući zakon ili sudstvo.
Za prikupljanje i podnošenje dokaza radi pokretanja kaznenih mera koje se
sprovodeunutar organizacije treba razviti interne procedure i njih se treba pridržavati.
U opštem slučaju, ova pravila za prikupljanje dokaza obuhvataju:
a) prihvatljivost dokaza: da li se dokazi mogu koristiti na sudu ili ne;
b) težinu dokaza: kvalitet i kompletnost dokaza.
Da bi se ostvarila prihvatljivost dokaza, organizacije treba da osigura da su
njeniinformacioni sistemi u skladu sa bilo kojim objavljenim standardom ili pravilima
prakse za izradu prihvatljivih dokaza.
Težina dokaza koji se obezbeđuju treba da je u skladu sa primenljivim zahtevima. Da
bi se ostvarila težina dokaza, mora se imati jak trag za praćenje dokaza kojim se može
prikazatikvalitet i kompletnost kontrola koje se primenjuju radi ispravne i dosledne zaštite
dokaza (tj. dokazi o kontroli procesa) tokom celog perioda čuvanja tih dokaza za koje će
biti potrebno da se obnove i procesiraju. U opštem slučaju, takav jak trag za praćenje
može se uspostaviti u sledećim uslovima:
a) kod papirnih dokumenata: original se čuva na sigurnom sa zapisom o onome ko ga
je našao, gde je nađen, kada je nađen i ko je bio svedok pri nalaženju; svaka istragatreba
da osigura da se sa originalima ne manipuliše;
b) kod informacija na računarskim medijumima: da bi se osigurala dostupnost, treba
praviti slike ili kopije prenosivih medijuma (zavisno od važećih zahteva),
informacijasadržanih na čvrstim diskovima ili u memoriji; o svim akcijama tokom postupka
kopiranja treba praviti zapise i za to treba imati svedoke; originalni medijum i zapis(ako to
nije moguće, najmanje jednu sliku ili kopiju) treba držati na sigurnom i van opticaja.
Bilo koja sudska istraživanja treba raditi samo na kopijama dokaznog materijala.
Treba zaštititi integritet sveg dokaznog materijala. Kopiranje dokaznog materijala treba
danadgleda provereno osoblje, a informacije o tome kada i gde je izvršeno kopiranje, ko
jespoveo kopiranje i kojji su alati bili korišćeni treba zapisati.
Ostale informacije
Kada se neki događaj u vezi sigurnosti informacija prvi put otkrije, ne mora biti
očigledno da će on dovesti do sudskog postupka. Zbog toga postoji opasnost da se
neophodni dokazi unište slučajno ili namerno pre nego što se shvati ozbiljnost takvog
incidenta. Savetuje se da se u bilo kojoj planiranoj pravnoj akciji već na početku uključe
pravnik ili policija i da sezatraži savet o potrebnim dokazima.
Dokazi mogu da prelaze granice organizacije i/ili sudstva. U takvim slučajevima
trebaosigurati da organizacija bude ovlašćena da prikuplja potrebne informacije kao
dokaze.Zahteve raznih sudskih ustanova treba takođe uzeti u obzir kako bi se do
maksimuma povećali izgledi za pristup u odgovarajuće sudske organe.
108
23. Upravljanje kontinuitetom poslovanja
23.1. Bezbednosni aspekti upravljanja kontinuitetom poslovanja

Cilj: Preduprediti zastoj poslovnih aktivnosti, zaštititi kritične poslovne procese od
uticaja vanrednih događaja ili prirodnih katastrofa i omogućiti nastavak poslovanja.
Za minimizaciju uticaja na organizaciju i oporavljanje od gubitaka informacione
imovine (što može biti rezultat, na primer, prirodnih katastrofa, nesreća, otkaza oreme i
namernih akcija), potrebno je implementirati proces upravljanja kontinuitetom
poslovanja. Ovaj proces treba da identifikuje kritične poslovne procese i da integriše
upravljačke zahteve zaštite informacija za kontinuitet poslovanja, sa ostalim zahtevima
kontinuiteta koji se odnose na pitanja kao što su operativni rad, osoblje, materijali,
transport i osnovna sredstva.
Posledice katastrofa, otkaza zaštite, gubitka servisa i raspoloživosti servisa, pripadaju
analizi kontinuiteta poslovanja. Treba izraditi i implementirati planove kontinuiteta
poslovanja kako bi se osiguralo blagovremeno nastavljanje poslovanja. Zaštita informacija
treba da bude integralni deo celokupnog procesa kontinuiteta poslovanja i drugih
upravljačkih procesa u organizaciji.
Upravljanje kontinuitetom poslovanja, pored procesa generalne procene rizika, treba
da uključi kontrole za identifikovanje i redukovanje rizika, ograničavanje posledica štete
izazvane incidentima i obezbeđivanje brze dostupnosti informacija koje zahtevaju
poslovni procesi.
23.1.1. Uključivanje zaštite informacija u proces upravljanja

kontinuitetom poslovanja
Kontrola
Uspostaviti upravljiv i održavan proces kontinuiteta poslovanja, koji obuhvata celu
organizaciju i bezbednosne zahteve za zaštitu informacija neophodnih za nastavak
poslovanja organizacije.
Ovaj proces treba da objedini sledeće ključne elemente upravljanja kontinuitetom
poslovanja:
a) razumevanje rizika sa kojima se organizacija suočava u pogledu verovatnoće i
uticaja, uključujući identifikovanje i prioritetizaciju kritičnih poslovnih procesa
(videti 23.1.2);
b) identifikovanje imovine koja je uključena u kritične poslovne procese (videti
16.1.1);
c) razumevanje eventualnih uticaja prekida na poslovanje, koji su posledica
incidenata narušavanja zaštite informacija (važno je da se pronađu rešenja za
postupanje sa incidentima manjeg uticaja, kao i za ozbiljne incidente koji
mogu ugroziti održivost organizacije) i uspostavljanje poslovnih ciljeva u
pogledu sredstava za obradu informacija;
d) razmatranje uplate odgovarajućeg osiguranja, što može predstavljati deo

celokupnog procesa kontinuiteta poslovanja i deo upravljanja operativnim
rizicima;
e) identifikovanje i razmatranje implementacije dodatnih kontrola za prevenciju
i ublažavanje;
f) identifikovanje dovoljnih finansijskih, organizacionih, tehničkih i
ambijentalnih resursa za zadovoljenje identifikovanih zahteva zaštite
informacija;
g) obezbeđenje zaštite osoblja. sredstava za obradu informacija i imovine
organizacije;
h) formulisanje i dokumentovanje planova kontinuiteta poslovanja, koji se
odnose na zahteve zaštite informacija usaglašene sa strategijom kontinuiteta
poslovanja (videti 23.1.3);
i) redovno testiranje i ažuriranje planova i procesa (videti 23.1.5);
j) ugradnja upravljanja kontinuitetom poslovanja u strukturu i procese
organizacije; na odgovarajućem organizacionom nivou delegirati
odgovornosti za proces upravljanja kontinuitetom poslovanja (videti ).
23.1.2. Procena kontinuiteta poslovanja i rizika

Kontrola
Identifikovati događaje koji mogu izazvati prekid poslovnih procesa, verovatnoću
pojave, uticaj i posledice po bezbednost informacija.
Zaštita informacija u pogledu kontinuiteta poslovanja treba da se zasniva na
identifikovanju događaja (ili niza događaja) koji može izazvati prekid poslovnih procesa
organizacije, npr., otkaz opreme, ljudske greške, krađa, požar, prirodne katastrofe i
terorističke akcije. Nakon identifikovanja ovih događaja vrši se procena rizika za
određivanje verovatnoće i uticaja, u pogledu vremena, stepena štete i perioda trajanja
oporavka.
Procena rizika kontinuiteta poslovanja treba da se sprovodi uz puno učešće vlasnika
poslovnih resursa i procesa. Ova procena treba da razmatra sve poslovne procese i ne
treba da je ograničena samo na sredstva za obradu informacija, već treba da uključi
rezultate specifične za zaštitu informacija. Važno povezati različite aspekte rizika, kako bi
se dobila kompletna slika zahteva kontinuiteta poslovanja organizacije. Procena treba da
identifikuje, kvantifikuje i prioritetizuje rizike prema kriterijumima i ciljevima relevantnim
za organizaciju, uključujući kritične resurse, uticaje prekida, dopustivo trajanje prekida i
prioritete oporavka.
Zavisno od rezultata procene rizika, treba razviti strategiju kontinuiteta poslovanja
koja utvrđuje sveobuhvatni pristup kontinuitetu poslovanja. Nakon kreiranja, strategija i
plan njene implementacije podnose se menadžmentu na odobrenje.
23.1.3. Razvoj i implementacija planova kontinuiteta poslovanja koji

uključuju zaštitu informacija
Kontrola
110
Razviti i implementirati planove za održavanje ili ponovno uspostavljanje operacija
(restore), obezbediti da raspoloživost informacija bude na zahtevanom nivou i vremenu
potrebnom za nastavljanje poslovanja nakon prekida ili otkaza kritičnih poslovnih procesa.
Proces planiranja kontinuiteta poslovanja treba da uzme u obzir sledeće:
a) identifikovanje i sporazumevanje o svim odgovornostima i procedurama
kontinuiteta poslovanja;
b) identifikovanje prihvatljivih gubitaka informacija i servisa;
c) implementacija procedura oporavka i ponovnog uspostavljanja poslovnih
operacija, kao i obezbeđenje raspoloživosti informacija u okviru zahtevanih
vremenskih perioda; posebnu pažnju treba usmeriti na procenu zavisnosti
internih i eksternih poslova i postojećih ugovora;
d) operativne procedure za praćenje toka kompletiranja oporavka i ponovnog
uspostavljanja;
e) dokumentaciju o odobrenim procedurama i procesima;
f) odgovarajuća obuka osoblja o odobrenim procedurama i procesima,
uključujući upravljanje kriznim situacijama;
g) testiranje i ažuriranje planova.
Proces planiranja treba da se fokusira na zahtevane poslovne ciljeve, npr., ponovno
uspostavljanje specifičnih komunikacionih servisa ka klijentima u prihvatljivom roku.
Treba identifikovati servise i resurse, uključujući osoblje, neinformacione radne resurse,
kao i aranžmane zamene sredstava za obradu podataka. Takvi aranžmani za vraćanje na
prethodno stanje mogu biti ugovori u formi uzajamnih sporazuma sa trećim stranama, ili
pretplata na komercijalne usluge.
Planovi kontinuiteta poslovanja se odnose na ranjivosti organizacije, što znači da
sadrže osetljive informacije koje moraju biti odgovarajuće zaštićene. Kopije planova
kontinuiteta poslovanja treba uskladištiti na dovoljno udaljenoj lokaciji, da bi se izbegla
oštećenja usled katastrofe na glavnoj lokaciji. Menadžment treba da obezbedi da kopije
planova kontinuiteta poslovanja budu ažurni i zaštićeni na istom bezbednosnom nivou
koji se primenjuje za glavnu lokaciju. Ostali materijali neophodni za sprovođenje planova
kontinuiteta, takođe treba čuvati na udaljenoj lokaciji.
Ako se koriste privremene alternativne lokacije, treba osigurati da nivo
implementiranih kontrola zaštite bude ekvivalentan glavnoj lokaciji.
Ostale informacije
Treba napomenuti da se planovi i aktivnosti upravljanja krizama (videti 14.1.3.f)
mogu razlikovati od upravljanja kontinuitetom poslovanja; npr., može se pojavii neka kriza
koja se može prevazići primenom normalnih upravljačkih procedura.
23.1.4. Okvir za planiranje kontinuiteta poslovanja

Kontrola
Održavati jedinstven okvir planova kontinuiteta poslovanja, kako bi se obezbedilo da
svi planovi konzistentno odgovaraju bezbednosnim zahtevima i identifikovali prioriteti za
njihovo testiranje i održavanje.
Svi planovi kontinuiteta poslovanja treba da imaju opis pristupa kontinuitetu, na
primer, pristup obezbeđenju raspoloživosti i zaštite informacija ili informacionog sistema.
Svaki plan takođe treba da specificira proširenja plana i uslova za te aktivnosti, kao i lica
koja su odgovorna za izvršenje svojih komponenata plana. Nakon identifikovanih novih
zahteva, sve procedure za vanredne događaje, npr., planove za evakuaciju, ili aranžmane
za vraćanje na prethodno stanje, treba na odgovarajući način korigovati. Procedure treba
uključiti u program upravljanja promenama, kako bi pitanja kontinuiteta poslovanja bila
propisno određena.
Svaki plan treba da ima svog vlasnika. Za procedure za vanredne događaje, planove
za manuelno vraćanje na prethodno stanje i planove za nastavljanje poslovnih operacija,
odgovorni su vlasnici odnosnih poslovnih procesa ili resursa. Za planove povratka na
prethodno stanje za alternativne tehničke servise, kao što su sredstva za obradu
informacija i komunikaciona sredstva, najčešće su odgovorni davaoci usluga.
Okvir planiranja kontinuiteta poslovanja treba da obuhvati identifikovane
bezbednosne zahteve i da uzme u obzir sledeće:
a) uslovi pod kojima se planovi aktiviraju – opisuju proces kojeg se treba
pridržavati (npr., kako proceniti situaciju, ko sve treba da bude uključen) pre
nego što se bilo koji plan aktivira;
b) procedure za vanredne događaje – opisuju akcije koje treba preduzeti posle
nekog incidenta koji ugrožava poslovne operacije;
c) procedure za vraćanje na prethodno stanje – opisuju akcije za premeštanje
najvažnijih poslovnih aktivnosti, ili servisa za podršku, na alternativne
privremene lokacije, kao i akcije vraćanja poslovnih procesa u funkciju u
okviru zahtevanog vremenskog perioda;
d) privremene operativne procedure za praćenje toka izvršavanja oporavka i
ponovnog uspostavljanja;
e) procedure za nastavljanje poslovanja – opisuju akcije koje treba preduzeti za
vraćanje poslovnih operacija u normalno stanje;
f) dinamički plan za održavanje – specificira kako i kada će se plan testirati i
definiše proces održavanja plana kontinuiteta poslovanja;
g) aktivnosti razvijanja svesti, edukacije i obuke – za razumevanje procesa
održavanja kontinuiteta i obezbeđenje njegove kontinualne efektivnosti;
h) lična odgovornost – kojima se opisuje ko je odgovoran za izvršavanje
određene komponente plana. Alternativne odgovornosti delegiraju se prema
zahtevu;
i) kritična imovina i resursi neophodni za izvršavanje procedura za vanredne
događaje, povratak na prethodno sanje i nastavljanje poslovanja.
23.1.5. Testiranje, održavanje i ponovna procena planova kontinuiteta

poslovanja
Kontrola
112
Da bi se obezbedilo da planovi kontinuiteta poslovanja budu efektivni i ažurni, treba
ih redovno testirati i dopunjavati.
Testiranje planova kontinuiteta poslovanja treba da obezbedi da svi članovi tima za
oporavak i drugo relevantno osoblje, budu svesni planova i svoje odgovornosti za
kontinuitet poslovanja, zaštitu informacija i svojih uloga u izvršavanju plana.
Dinamički plan testiranja planova kontinuiteta poslovanja treba da sadrži način i
vreme testiranja svakog elementa plana koji treba da se testira. Svaki element plana treba
testirati periodično.
Treba koristiti razne tehnike koje će garantovati da su planovi u skladu sa realnom
situacijom, koje uključuju:
a) testiranje raznih scenarija – predlaganje scenarija prekida poslovanja i
diskutovanje rešenja za oporavak;
b) simulacije – isključivo za obuku ljudi koji imaju rukovodeće uloge nakon
incidenta/krize;
c) testiranje tehničkog oporavka – obezbeđivanje efektivnosti ponovnog
uspostavljanja sistema;
d) testiranje oporavljanja na alternativnoj lokaciji – izvršavanje tekućih
poslovnih procesa na glavnoj lokaciji paralelno sa operacijamam oporavljanja
na udaljenoj lokaciji;
e) testiranje opreme i servisa dobavljača – osiguravanje da eksterni proizvodi i
usluge ispunjavaju ugovorne obaveze;
f) kompletna vežba – testiranje sposobnosti organizacije, personala, opreme,
osnovnih sredstava i procesa za prevazilaženje prekida.
Ove tehnike može koristiti bilo koja organizacija. Treba da se primenjuju na način koji
je relevantan za specifičan plan oporavka. Gde je potrebno, vode se zapisi testnih
rezultata i preduzetih akcija za poboljpavanje planova.
Za svaki plan kontinuiteta poslovanja treba dodeliti odgovornost za njegovo redovno
revidiranje. Identifikovane promene u poslovnim aranžmanima, koje se još nisu uključene
u planove kontinuitet poslovanja, treba da prati odgovarajuće ažuriranje plana. Ovaj
formalni proces kontrole promena treba da osigura da planovi budu ažurirani,
distribuirani i pojačani redovnim revizijama kompletnog plana.
Primeri promena kod kojih treba ažurirati planove kontinuiteta poslovanja su
nabavka nove opreme, poboljšavanje sistema i promene:
a) osoblja;
b) adresa ili brojeva telefona;
c) poslovne strategije;
d) lokacije, osnovnih sredstava i resursa;
e) zakona;
f) ugovarača, isporučilaca i ključnih klijenata;
g) procesa, novih ili povučenih;
h) rizika (operativnih i finansijskih).
24. Usklađenost
24.1. Usklađenost sa zakonskim zahtevima

Onemogućiti narušavanje zakonskih i statutarnih propisa, ugovornih obaveza i drugih
bezbednosnih zahteva.
Projektovanje, rad, korišćenje i upravljanje informacionim sistemima može da
podleže statutarnim, regulativnim i ugovornim zahtevima za sigurnost.
Savete o specifičnim zakonskim zahtevima treba potražiti od pravnih savetnika u
organizaciji, ili odgovarajuće kvalifikovanih pravnika. Zahtevi u zakonima variraju odzemlje
do zemlje a mogu varirati za informacije stvorene u jednoj zemlji koje se šalju udrugu
zemlju (tj. tok podataka preko granica).
24.1.1. Identifikovanje primenljivih zakona

Kontrola
Sve relevantne zakonske, regulativne i ugovorne zahteve, kao i pristup organizacije
zadovoljenju tih zahteva, treba eksplicitno definisati, dokumentovati i održavati ažurnim
za svaki informacioni sistem i organizaciju u celini.
Na sličan način treba definisati i dokumentovati specifične kontrole i pojedinačne
odgovornosti za ispunjenje tih zahteva.
24.1.2. Prava intelektualne svojine

Kontrola
Treba implementirati odgovarajuće procedure koje obezbeđuju usklađenost sa
zakonskim, regulativnim i ugovornim zahtevima za korišćenje materijala koji može biti
predmet prava intelektualne svojine i zaštićenih softverskih proizvoda i patenata.
Radi zaštite bilo kakvog materijala koji se može smatrati intelektualnom svojinom,
treba uzeti u obzir sledeće smernice:
a) objavljivanje politike usaglašenosti sa pravima intelektualne svojine kojom se
definiše legalno korišćenje softvera i informacionih proizvoda;
b) nabavka softvera samo iz poznatih i proverenih izvora, kako bi se osiguralo da se
nekrše prava vlasništva;
c) održavanje obaveštenosti o politici zaštite prava na intelektualnu svojinu, kao
idavanje poruke o nameri da se protiv osoblja koje ta prava krši preduzimaju kaznene
mere;
d) održavanje odgovarajućih registara imovine i identifikovanje svih dobara koja
zahtevaju zaštitu prava intelektualne svojine;
e) održavanje dokaza i evidencije o vlasništvu nad licencama, izvornim diskovima,
priručnicima itd;
114
f) implementacija kontrola kako bi se osiguralo da nije prekoračen najveći
dozvoljenibroj korisnika;
g) sprovođenje provera da su ugrađeni samo autorizovani softveri i licencirani
proizvodi;
h) obezbeđenje politike održavanja odgovarajućih uslova licence;
i) obezbeđenje politike raspolaganja ili prenošenja softvera drugima;
j) korišćenje odgovarajućih alata za proveru;
k) pristanak na uslove sporazuma za softver i informacije koji se dobijaju sa
javnihmreža;
l) ne kopiranje, ne pretvaranje u neku drugu formu niti izdvajanje materijala iz
komercijalnih zapisa (filmova, audio snimaka) osim onoga što je dozvoljeno zakonom o
kopiranju;
m) ne kopiranje ni delimično niti potpuno, kniga, članaka, izveštaja ili drugih
dokumenata, osim onoga što je dozvoljeno zakonom o kopiranju.
Ostale informacije
Prava intelektualne svojine obuhvataju prava na kopiranje softvera ili dokumentacije,
projektantska prava, oznake proizvođača, patente, kao i licence za izvorne programe.
Softverski proizvodi u vlasništvu najčešće se isporučuju prema ugovoru o licenci
kojim se specificiraju odredbe i uslovi, npr., ograničavanje korišćenja takvih proizvoda na
specificirane mašine ili ograničenje kopiranja samo na izradu rezervnih kopija.
Pravaintelektualne svojine nad softverom koji se razvija u samoj organizaciji treba
razjasniti saosobljem.
Zakonodavni, regulativni i ugovorni zahtevi mogu postaviti ograničenja u pogledu
kopiranjamaterijala koji predstavlja vlasništvo. Posebno, oni mogu zahtevati da se koristi
jedinomaterijal koji je razvijen u samoj organizaciji, ili obezbeđen po licenci ili koji je za
organizaciju razvijen kod projektanta. Narušavanje prava na kopiranje može dovesti
dozakonske akcije koja može obuhvatiti i krivično gonjenje.
24.1.3. Zaštita zapisa organizacije

Kontrola
Važne zapise treba zaštititi od gubljenja, uništenja i falsifikovanja, u skladu
sastatutarnim, regulativnim, ugovornim i poslovnim zahtevima.
Zapise treba razvrstati u kategorije tipova zapisa, npr., računovodstvene zapise,
zapise bazepodataka, zapisnike o transakcijama, zapise o proverama i operativnim
procedurama, svakisa detaljima o periodu čuvanja i tipu medijuma na kojima se oni
čuvaju, npr., papiru, mikrofišu, magnetskom, optičkom. Sav pripadajući kriptografski
materijal i programi koji pripadaju šifrovanom arhivskom materijalu ili digitalnim
potpisima (videti 12.3), treba takođe sačuvati kako bi se omogućilo dešifrovanje zapisa
tokom trajanja čuvanja zapisa.
Treba uzeti u obzir mogućnost propadanja medijuma koji se koriste za čuvanje
zapisa. Treba implementirati procedure za čuvanje i postupanje koje su u skladu sa
preporukama proizvođača. Za dugotrajno čuvanje, treba predvideti korišćenje papira i

mikrofiša.
Gde su za čuvanje odabrani elektronski medijumi, treba uključiti procedure za
osiguranje mogućnosti pristupanja podacima (čitljivost medijuma i formata) u celom
periodu čuvanja,kako bi se zaštitilo od njihovog gubljenja usled buduših tehnoloških
promena.
Sisteme za skladištenje podataka treba odabrati tako da se potrebni podaci mogu
pronaći u prihvatljivom vremenskom roku i u prihvatljivoj formi, zavisno od zahteva koje
trebaispuniti.
Sistem za skladištenje i postupanje sa podacima treba da, ako je to potrebno, osigura
jasnuidentifikaciju zapisa i njihov period čuvanja kako je definisano nacionalnim ili
regionalnimzakonima ili regulativom. Ovaj sistem treba da dozvoljava odgovarajuće
uništavanje zapisapo isteku tog perioda ukoliko oni nisu potrebni organizaciji.
Da bi se ispunili ovi ciljevi sigurne zaštite zapisa, unutar organizacije treba
preduzetisledeće korake:
a) treba izdati smernice o odlaganju, skladištenju, postupanju i odbacivanju zapisa i
informacija;
b) treba izraditi termin plan za čuvanje kojim se identifikuju zapisi i vremenski period
u kojem ih treba sačuvati;
c) treba održavati inventarski popis izvora ključnih informacija;
d) treba implemenirati odgovarajuće kontrole radi zaštite zapisa i informacija od
gubljenja, uništenja i falsifikovanja.
Ostale informacije
Za neke zapise može biti potrebno da se čuvaju zaštićeni kako bi se ispunili
statutarni, regulativni ili ugovorni zahtevi, kao i da bi se podržale najvažnije poslovne
aktivnosti. Primeri ovoga su zapisi koji mogu biti potrebni kao dokaz da organizacija
posluje unutar statutarnih ili regulativnih pravila, kako bi se osigurala odgovarajuća
odbrana protiv mogućih prekršajnih ili kriminalnih aktivnosti, ili da bi se potvrdilo
finansijsko stanjeorganizacije u odnosu na deoničare, spoljne partnere ili proveravače.
Vremenski period i sadržaj podataka u informacijama koje se čuvaju mogu biti postavljeni
nacionalnim zakonom ili propisom.
Dalje informacije o upravljanju zapisima organizacije mogu se naći u ISO 15498-1.
24.1.4. Zaštita podataka i privatnosti ličnih informacija

Kontrola
U skladu sa zahtevima relevantnih zakona, regulativa ili ugovornih odredbi,
obezbediti zaštitu podataka i privatnosti ličnih informacija.
Treba projektovati i implementirati politiku zaštite i tajnosti podataka u organizaciji.
Sa ovom politikom treba upoznati sve osobe koje su uključene u procesiranje informacija
o ličnosti.
116
Usklađenost sa ovom politikom i svim odgovarajućim zakonskim aktima i propisima
za zaštitu podataka zahteva odgovarajuću strukturu rukovođenja i kontrole. Često se ovo
najbolje postiže imenovanjem odgovorne osobe, kao što je službenik za zaštitu
podataka,koji treba da pruža smernice rukovodiocima, korisnicima i davaocima usluga o
njihovimpojedinačnim odgovornostima i specifičnim procedurama kojih oni treba da se
pridržavaju. Odgovornost za postupanje sa informacijama o ličnosti i osiguranje
poznavanja principazaštite podataka treba treba da bude prema odgovarajućim zakonima
i regulativi. Da bi se podaci o ličnosti zaštitili, treba implementirati odgovarajuće tehničke i
organizacione mere.
Ostale informacije
Više zemalja uvelo je zakonske mere kojima su postavljene kontrole kod prikupljanja,
procesiranja i prenošenja podataka o ličnosti (u opštem slučaju informacija o
živimpojedincima koje je na osnovu tih informacija moguće identifikovati). Zavisno od
odgovarajućeg nacionalnog zakonodavstva, takve kontrole mogu postaviti obaveze pred
one koji prikupljaju, obrađuju i distribuiraju infomacije o ličnosti, i mogu ograničiti
mogućnost prenošenja tih podataka u druge zemlje.
24.1.5. Sprečavanje zloupotrebe opreme za obradu informacija

Kontrola
Korisnike treba odvraćati od korišćenja sredstava za obradu informacija u
neposlovne ili neodobrene namene.
Menadžment treba da odobri korišćenje sredstava za obradu informacija. Svako
korišćenje ovih sredstava za neposlovne namene, bez odobrenja menadžmenta (videti
15.1.4), ili za bilo koje neodobrene namene, treba smatrati neprihvatljivim korišćenjem
tih sredstava. Ako se nadgledanjem ili pomoću drugih sredstava utvrdi bilo kakva
neovlašćena aktivnost, na tu aktivnost treba skrenuti pažnju pojedinačnom rukovodiocu
zaduženom za odgovarajuću disciplinsku i/ili zakonsku akciju.
Pre implementacije procedura za nadzor, treba potražiti pravni savet.
Svi korisnici treba da budu upoznati sa preciznim područjem njihovog dozvoljenog
pristupa i o uspostavljenom nadzoru da bi se otkrilo neovlašćeno korišćenje. Ovo se može
ostvaritidavanjem korisnicima pisanog odobrenja, pri čemu korisnik treba da potpiše
kopiju koju organizacija zadržava i čuva na sigurnom. Zaposlenima u nekoj organizaciji,
izvođačima radova i korisnicima sa treće strane treba saopštiti da pristup nije dozvoljen
osim onima kojima je to odobreno.
Prilikom prijavljivanja, na ekranu računara treba da se prikaže poruka upozorenja
kojomse ukazuje da su sredstva u koja se ulazi vlasništvo organizacije i da neovlavšćeni
pristupnije dozvoljen. Da bi se proces prijavljivanja nastavio, korisnik mora da tu poruku
potvrdi ida na nju reaguje naodgovarajući način (videti 20.5.1).
Ostale informacije
Sredstva za procesiranje informacija u nekoj organizaciji predviđena su prvenstveno
ili isključivo za poslovne namene.
Za sprečavanje i otkrivanje zloupotrebe sredstava za procesiranje informacija kao

pomoć mogu poslužiti alati za otkrivanje upada, za pregledanje sadržaja i drugi alati za
nadgledanje.
Mnoge zemlje imaju uvedene zakonske mere kojima se štiti od zloupotrebe
računara. Korišćenje računara za nedozvoljene svrhe može biti krivično delo.
Zakonitost nadzora korišćenja razlikuje se od zemlje do zemlje i može se zahtevati da
menadžment savetuje sve korisnike o takvom nadzoru i/ili da dobije njihovu saglasnost.
Kada se sistem u koji se ulazi koristi za javni pristup (npr., javni web server) i kada je on
podvrgnut nadzoru sigurnosti, treba da se prikaže poruka kojom se to saopštava.
24.1.6. Regulativa za kriptografske kontrole

Kontrola
Kriptografske kontrole treba primenjivati u skladu sa svim relevantnim sporazumima,
zakonima i regulativama.
Treba uzeti razmotriti usklađenost sledećih stavki sa odgovarajućim
sporazumima,zakonima i regulativom:
a) ograničenja uvoza i/ili izvoza računarskog hardvera i softvera za
obavljanjekriptografskih funkcija;
b) ograničenja uvoza i/ili izvoza računarskog hardvera i softvera koji je projektovan
damu se dodaju kriptografske funkcije;
c) ograničenja u pogledu primene šifrovanja;
d) obavezne ili diskrecione metode vlasti u pojedinim zemljama, da pristupaju
informacijama koje su, da bi se obezbedila poverljivost njihovog sadržaja, šifrovane
pomoću hardvera ili softvera.
Da bi se osigurala usklađenost sa nacionalnim zakonima i regulativom, treba
potražitipravni savet. Pravni savet treba potražiti i pre nego što se započne sa
prebacivanjemšifrovanih informacija ili kriptografskih kontrola u neku drugu zemlju.
24.2. Usklađenost sa tehničkim politikama i standardima i

tehnička usklađenost
Cilj: Obezbediti usklađenost sistema sa politikama zaštite organizacije i standardima.
Zaštitu informacionih sistema treba redovno preispitivati.
Takva preispitivanja treba obavljati prema odgovarajućoj politici sigurnosti i
tehničkim platformama i treba proveravati usklađenost informacionih sistema sa
standardima za implementaciju sigurnosti i dokumentovanim kontrolama sigurnosti.
24.2.1. Usklađenost sa politikama i standardima zaštite

Kontrola
Da bi se održala usklađenost sa politikama i standardima zaštite, rukovodioci treba
da obezbede ispravno sprovođenje bezbednosnih procedura.
118
Rukovodioci treba redovno da preispituju usklađenost procesiranja informacija u
područjunjihove odgovornosti sa odgovarajućim politikama sigurnosti, standardima i svim
ostalimzahtevima za sigurnost.
Ako se, kao rezultat takvog preispitivanja pronađe bilo kakva neusklađenost,
rukovodioci treba da:
a) utvrde uzroke neusklađenosti;
b) vrednuju potrebu za preduzimanje akcija kako bi se osiguralo da se neusklađenost
ne ponovi;
c) utvrde i sprovedu odgovarajuće korektivne mere;
d) preispitaju sprovedene korektivne mere.
Rezultate preispitivanja i korektivne mere koje je sproveo menadžment treba zapisati
i te zapise treba održavati. Rukovodioci, kada se nezavisno preispitivanje preduzme u
područjunjihove odgovornosti, o tim rezultatima treba da izveste osobe koje sprovode
nezavisna preispitivanja (videti 6.1.8).
Ostale informacije
Operativni nadzor korišćenja sistema obuhvaćen je u 10.10.
24.2.2. Provera tehničke usklađenosti

Kontrola
Treba redovno proveravati usklađenost informacionih sistema sa standardima
implementacije zaštite.
Proveru tehničke usklađenosti treba da obavlja iskusan sistemski inženjer, bilo ručno
(akoje potrebno uz pomoć odgovarajućih softverskih alata), i/ili pomoću automatizovanih
alata, koji generišu tehnički izveštaj za tehničkog specijalistu da bi ga on tumačio
naknadno.
U slučaju primene ispitivanja upadom ili ocenjivanja ranjivosti, potrebne su mere
opreza jer bi takve aktivnosti mogle dovesti do narušavanja sigurnosti sistema. Takva
ispitivanja treba da budu planirana, dokumentovana i ponovljiva.
Bilo kakve provere tehničke usklađenosti treba da sprovode samo kompetentne,
ovlašćene osobe ili da se one izvršavaju pod nadzorom takvih osoba.
Ostale informacije
Provera tehničke usklađenosti uključuje ispitivanje operativnih sistema kako bi se
osiguralo da hardverske i softverske kontrole budu ispravno primenjene. Ovaj tip provere
usklađenosti zahteva teničku pomoć specijaliste.
Provera usklađenosti takođe obuhvata, na primer, ispitivanje upadom i ocenjivanje
ranjivosti, što mogu sprovoditi nezavisni stručnjaci sa kojima se za ovu svrhu sklapaju
posebni ugovori. Ovo može biti korisno kod otkrivanja ranjivosti u sistemu i za
proverukoliko su efikasne kontrole za sprečavanje neovlašćenog pristupanja usled ovih
ranjivosti.
Ispitivanje upadom i ocenjivanje ranjivosti pružaju brzu sliku sistema pri specifičnom
stanju u specifičnom trenutku. Ova brza slika ograničena je na one delove sistema koji
seispituju tokom pokušaja upada. Ispitivanje upadom i ocenjivanje ranjivosti ne
predstavljaju zamenu za ocenjivanje rizika.
24.3. Razmatranja audita informacionih sistema

Cilj: Povećati efikasnost procesa audita i smanjiti međusobne uticaje audita i
Prilikom provera sistema u radu treba da postoje kontrole za sigurnu zaštitu
operativnih sistema kao i alata za proveru.
Zaštita je potrebna i radi sigurne zaštite integriteta i sprečavanja zloupotrebe alata za
proveru.
24.3.1. Kontrole audita informacionih sistema

Kontrola
Da bi se minimizirao rizik od ometanja poslovnih procesa, zahtevi audita i prateće
aktivnosti provere operativnih sistema, treba da budu pažljivo isplanirani i odobreni.
Treba se pridržavati sledećih smernica:
a) zahteve za proveru treba dogovoriti sa odgovarajućim menadžmentom;
b) predmet i područje provera treba dogovoriti i kontrolisati;
c) provere softvera i podataka treba ograničiti na pristup samo sa čitanjem;
d) pristup koji nije ograničen samo na čitanje treba dozvoliti samo za dobijanje
pojedinačnih kopija sistemskih datoteka, koje po završenoj proveri treba izbrisati, ili ih
treba odgovarajuće zaštititi ukoliko postoji obaveza da se takve datoteke čuvaju prema
zahtevima za dokumentovanje provere;
e) resurse za obavljanje provera treba eksplicitno identifikovati i staviti na
raspolaganje;
f) zahteve kod posebnog ili dopunskog procesiranja treba identifikovati i o
tomenapraviti sporazum;
g) sva pristupanja treba nadgledati i zapisivati kako bi se napravio referentni trag
zaproveru; kod kritičnih podataka ili sistema treba predvideti tragove provere sa
nanesenom vremenskom oznakom;
h) sve procedure, zahteve i odgovornosti treba dokumentovati;
i) osoba(e) koje sprovode proveru treba da budu nezavisni od aktivnosti koje
seproveravaju.
24.3.2. Zaštita alata za audit informacionih sistema

Kontrola
120
Da bi se predupredila svaka mogućnost zloupotrebe ili kompromitacije, alati za audit
sistema treba da budu zaštićeni od pristupa.
Alate za proveru informacionih sistema, npr., softvere ili datoteke sa podacima, treba
izdvojiti iz razvojnih ili operativnih sistema i ne treba ih držati u bibliotekama na trakama
ili u korisničkim područjima, osim ako im se ne dodeli odgovarajući nivo dodatne zaštite.
Ostale informacije
Ako su u proveru uključene treće strane, može postojati rizik da ove treće strane
zloupotrebe alate za proveru kao i informacije kojima organizacija treće strane pristupa.
Dabi se izbegao ovakav rizik mogu se razmotriti kontrole kao u 6.2.1 (za ocenu tih rizika) i
9.1.2 (za ograničenje fizičkog pristupa), a posledice treba sprečiti neposrednim
menjanjem lozinke koja je bila otkrivena proveravačima.

ISO-IEC 27001 I Uputstva Za Implementaciju Kontrola

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ISO-IEC 27001 I Uputstva Za Implementaciju Kontrola

Uploaded by

Copyright:

Available Formats

Prevod međunaronih standarda:

1.2. Procesni pristup

Usvajanje PDCA modela takođe odražava principe upravljanja zaštitom informacionih

Implementacija i Monitoring i revizija Zainteresovane

Slika 1. PDCA model ISMS procesa

Plan (Uspostavljanje dokumentovanog ISMS) – Uspostavljanje politike, ciljeva,

1.3. Kompatibilnost sa drugim upravljačkim sistemima

moguće je odgovoriti zahtevima ovih upravljačkih Standarda. U tabeli C.1, mapirane su

Informacione tehnologije – Tehnike zaštite – Sistemi

4.1. Asset (Vrednost/Imovina)

4.2. Availability (Raspoloživost)

4.3. Confidentiality (Poverljivost)

4.4. Information security (Zaštita informacija)

4.5. Information security event (Bezbednosni događaj)

4.6. Information security incident (Bezbednosni incident)

4.7. Information security management system ISMS (Sistem

4.8. Integrity (Integritet)

4.9. Residual risk (Preostali rizik)

4.10. Risk acceptance (Prihvatanje rizika)

4.11. Risk analysis (Analiza rizika)

4.12. Risk assessment (Procena rizika)

4.13. Risk evaluation (Evaluacija rizika)

4.14. Risk management (Upravljanje rizikom)

4.15. Risk treatment (Tretiranje rizika)

4.16. Statement of applicability (Izjava o primenjivosti – SOA)

5. Sistem upravljanja zaštitom informacija

5.1. Opšti zahtevi

5.2. Uspostavljanje i upravljanje ISMS

1) Određivanje metodologije za procenu rizika koja je u skladu sa ISMS

Ciljevi kontrola i kontrole biraju se i implementiraju u skladu sa zahtevima

5.2.2. Implementacija i rad ISMS

q) Implementacija procedura i kontrola za detekciju i reagovanje na bezbedne

5.2.3. Monitoring i revizija ISMS

5.2.4. Održavanje i poboljšavanje ISMS

5.3. Zahtevi dokumentacije

5.3.2. Kontrola dokumentacije

5.3.3. Kontrola zapisa

6.1. Angažovanje menadžmenta

6.2. Upravljanje resursima

6.2.2. Obuka, svest i stručnost

eee) obezbeđivanja obuke ili preduzimanjem sličnih akcija (na primer,

7. Interni auditi ISMS sistema

8. Menadžerska revizija ISMS

8.2. Ulazi revizije

8.3. Izlazi revizije

vvv) Poboljšanje metrike efektivnosti kontrola.

9.1. Kontinualno poboljšavanje

9.2. Korektivne akcije

9.3. Preventivne akcije

Organizacija će identifikovati promenjene nivoe rizika i identifikovaće zahteve

Ciljevi kontrola i kontrole

Tabela A.1 – Ciljevi kontrola i kontrole

A.5 POLITIKA ZAŠTITE

Po prestanku zaposlenja, isteka ugovora ili usklađivanja nakon promena, svim

Upravljati promenama pružanja usluga, uključujući održavanje i unapređivanje

Integritet informacija koje se stavljaju na raspolaganje na javno dostupnim sistemima

Pristup operativnim sistemima mora biti kontrolisan bezbednosnim log-on

Modifikacije na softverskim paketima treba izbegavati, ograničiti na neophodne, a sve

Važne zapise treba zaštititi od gubljenja, uništenja i falsifikovanja, u skladu

OECD principi i ovaj Međunarodni Standard

Principi navedeni u OECD (Organisation for Economic Co-operation i Development)

Reagovanje je deo aktivnosti monitoringa faze Check (videti 5.2.3 i 7

Veza između ISO 9001:2000, ISO 14001:2004 i ovog Međunarodnog Standarda