SADRAJ....................................................................................................................................................................................

2
UVOD..........................................................................................................................................................................................3
ISTORIJAT ISO/IEC 27001:2005 STANDARDA.........................................................................................................................3
OPTE KONTROLE.....................................................................................................................................................................5
ODGOVORNOST ZA ZATITU...............................................................................................................................................5
OKRUENJE SISTEMA..........................................................................................................................................................5
UNUTRANJE VEZE U SISTEMU/DIJELJENJE INFORMACIJA..............................................................................................5
PRIMJENLJIVI ZAKONI ILI REGULATIVE KOJE UTIU NA SISTEM......................................................................................5
OPTI OPIS OSJETLJIVOSTI INFORMACIJA.............................................................................................................................5
UPRAVLJAKE KONTROLE....................................................................................................................................................6
ANALIZA I UPRAVLJANJE RIZIKOM....................................................................................................................................6
PREGLED KONTROLA ZATITE.................................................................................................................................................6
PRAVILA PONAANJA.............................................................................................................................................................6
PLANIRANJE ZATITE U TOKU IVOTNOG CIKLUSA SISTEMA........6
Inicijalna faza (pripremna)...........................................................................................................................................................6
Faza razvoja/akvizicije................................................................................................................................................................6
Faza implementacije..................................................................................................................................................................7
Faza operativnog rada/odravanja....................................................................................................................................................7
Faza odlaganja................................................................................................................................................................................7
Ovlaeno procesiranje.................................................................................................................................................................7
OPERATIVNE KONTROLE..........................................................................................................................................................7
PERSONALNA ZATITA..............................................................................................................................................................7
FIZIKA I ZATITA OKRUENJA...........................................................................................................................................8
PROIZVODNJA, KONTROLE I/O (ULAZ/IZLAZ)...................................................................................................................8
PLANIRANJE VANREDNIH MJERA...............................................................................................................................................8
KONTROLE ZA ODRAVANJE SISTEMSKOG HARDVERA I SOFTVERA.............................................................................9
KONTROLE INTEGRITETA...................................................................................................................................................9
DOKUMENTACIJA................................................................................................................................................................10
SVIJEST O POTREBI I OBUKA...........................................................................................................................................10
KAPACITETI ZA UPRAVLJANJE INCIDENTOM.................................................................................................................10
TEHNIKE KONTROLE.......................................................................................................................................................10
IDENTIFIKACIJA I AUTENTIFIKACIJA..............................................................................................................................................10
LOGIKE KONTROLE PRISTUPA........................................................................................................................................................11
KONTROLNI TRAGOVI.........................................................................................................................................................................12

Banja Luka, 2012.

Predmet: Zatita raunarskih mrea

Seminarski rad

ZAKLJUAK....13

UVOD
U ovom radu je razmatrana izrada sistema upravljanja informatikom bezbednou
(ISMS Information Security Management System) u skladu sa ISO/IEC 27001:2005
standardom u organizaciji. Objanjen je ISO/IEC 27001:2005 standard, te pravila i
procedure kojih se moramo pridravati prilikom realizacije bezbjednosti informacionog
sistema, kao i mnoga druga pitanja na koja bi se trebalo odgovoriti prilikom pravljenja
plana za zatitu informacionog sistema.

ISTORIJAT ISO/IEC 27001:2005 STANDARDA

Meunarodni standard ISO/IEC 27001 je pripremljen da obezbjedi jedan model za
uspostavljanje, implementaciju, operativni rad, nadzor, pregled, odravanje i
poboljavanje sistema za upravljanje informatikom bezbjednou (ISMS Information
Security Management System)1. Usvajanje ISMS sistema treba da bude strateka odluka
za jednu organizaciju.Dizajn i implementacija ISMS sistema u organizaciji je pod
uticajem njenih potreba i ciljeva, bezbjednosnih zahtjeva, procesa koji se izvravaju, kao
i uslovljen veliinom i strukturom organizacije. Oekuje se da jedna implementacija
ISMS sistema treba da bude prilagoena potrebama organizacije, na primer jednostavna
situacija zahteva jednostavno ISMS rijeenje. ISO 27001 standard je usvojio procesni
pristup za uspostavu, implementaciju, operativni rad, nadzor, pregled, odravanje i
poboljavanje ISMS sistema.Organizacija mora da identifikuje i upravlja mnogim
aktivnostima u cilju da funkcionie efektivno.Bilo koja aktivnost koja koristi resurse i
upravlja se u cilju da omogui transformaciju nekih ulaza u izlaze moe se posmatrati kao
proces.esto izlaz jednog procesa direktno formira ulaz za sledei proces, itd. Primjena
sistema procesa u okviru organizacije, zajedno sa identifikacijom i interakcijom tih
procesa, kao i njihovo upravljanje moe se posmatrati kao procesni prilaz. Procesni
prilaz upravljanju informatike bezbjednosti koji je predstavljen u ISO 27001 standardu
naglaava vanost:

razumjevanja zahtjeva za informatikom bezbjednou u organizaciji, kao

i potrebe da se uspostavi politika i ciljevi informatike bezbjednosti;
implementacije i primjene kontrola za upravljanje rizicima informatike
bezbjednosti u organizaciji u kontekstu sveukupnih poslovnih rizika
organizacije;
nadzora i pregleda performansi i efektivnosti ISMS sistema;
kontinualnog poboljanja na bazi objektivnog mjerenja.
ISO/IEC 27001 standard usvaja Plan-Do-Check-Act (PDCA) model, koji se primenjuje
da struktuira sve ISMS procese.Naime, ISMS sistem uzima kao ulaz zahtjeve za
informatikom bezbjednou, kao i oekivanja zainteresovanih strana, i kroz neophodne
1http://en.wikipedia.org/wiki/ISO/IEC_27001

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

2 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

akcije i procese proizvodi izlaze informatike bezbjednosti koji zadovoljavaju pomenute

zahtjeve i oekivanja.

plan (uspostava ISMS sistema) uspostava ISMS politike, ciljeva, procesa i

procedura koji su relevantni za upravljanje rizikom i poboljanje
informatike bezbjednosti u cilju dobijanja rezultata koji su uskladu sa
sveukupnim politikama i ciljevima organizacije.
do (implementacija i operativni rad ISMS sistema) implementacija i
operativni rad ISMS politike, kontrola, procesa i procedura.
check (nadzor i pregled ISMS sistema) ocjenjivanje i, tamo gde je to
primenjljivo, mjerenje performansi procesa u odnosu na ISMS politiku,
ciljeve i praktino iskustvo, kao i izvetavanje o rezultatuma
menademntu za svrhu pregleda.
act (odravanje i poboljavanje ISMS sistema) primjena korektivnih i
preventivnih akcija, baziranih na rezultatima internog ISMS audita i
pregleda od strane menadmenta ili drugih relevantnih informacija, u cilju
postizanja kontinualnog poboljanja ISMS sistema.
Istorijat geneze dokumenata vezanih za standarde ISO 17799 i 27001, kao i za BS7799
moe se prikazati na sledei nain:

Industrijska radna grupa januar 1993,

Izdat kod prakse (Code of Practice) septembar 1993,
BS 7799: Part 1 publikovan februar 1995,
BS 7799: Part 2 publikovan februar 1998,
BS 7799: Part 1 i Part 2 april 1999,
ISO 17799 (BS 7799-1) publikovan 2000,
BS 7799-2 publikovan 2002,
ISO/IEC 17799: 2005 nova verzija u 2005. godini, publikovana u junu
2005.ISO 17799: 2000 verzija povuena.
ISO/IEC 27001: 2005 nova verzija standarda u 2005. godini, publikovana
unovembru 2005. BS 7799-2: 2002 verzija povuena.

Dakle, danas aktuelni standardi u domenu informatike bezbjednosti su:

ISO/IEC 27002: 2005 Information Technology Security Techniques Code of practice
for information security management (nekada 17799standard),

Obezbeuje smernice najboljeprakse za ISMS system

Definie skup ciljeva kontrola, kontrola, kao i smernica zaimplementaciju.
Ne moe se koristiti za ocenjivanje i sertifikaciju.

ISO/IEC 27001:2005 Information Technology Security Techniques Information

Security Management Systems Requirements

Definie specifine zahtjeve za uspostavu, implementaciju, operativni rad,

nadzor, pregled, odravanje i poboljanje dokumentovanog ISMS sistema.

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

3 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

Izraen da osigura adekvatne bezbjednosne kontrole da zatiti

informaciona dobra i dokumentuje ISMS sistem.
Moe se koristiti za ocjenjivanje i sertifikaciju.

OPTE KONTROLE
ODGOVORNOST ZA ZATITU

Ime lica odgovornog za zatitu sistema ( u sluaju bilo kakvog problema ako se
desi da se zna odgovorna osoba koja e da obrazloi zato se neto desilo ili nije )

OKRUENJE SISTEMA

Obezbjediti opti opis tehnikog sistema. Ukljuiti sve faktore okruenja ili
tehnike koji zahtjevaju posebne mjere zatite (dial-up, otvorena mrea-OSI itd.)

Opisati primarne RS (platforme) koji se koriste i opisati glavne komponente

sistema, ukljuujui hardver, softver i komunikacione resurse

Ukljuiti sve softvere za zatitu sistema i informacija

UNUTRANJE VEZE U SISTEMU/DIJELJENJE INFORMACIJA

Navesti sve povezane sisteme i identifikatore sistema (ako je prikladno)

Ako neka veza sa spoljnim sistemom nije obuhvaena planom zatite, obezbjediti
kratku diskusiju bilo kojeg bezbjednosnog problema kojeg treba razmatrati u
sistemu zatite

Dobijanje pisane autorizacije (MOU) pre spajanja sa drugim sistemima i/ili

dijeljenja osjetljivih podataka/informacija. Treba detaljno opisati pravila
ponaanja, kojih se meusobno povezani sistemi treba da pridravaju. Ovaj opis
mora biti ukljuen u plan zatite ili diskutovan u toku planiranja.

PRIMJENLJIVI ZAKONI ILI REGULATIVE KOJE UTIU NA SISTEM

Navesti svaki zakon ili regulative koji uspostavljaju specifine zahteve za

povjerljivost, integritet, raspoloivost i neporecivost podataka/informacija u
sistemu

OPTI OPIS OSJETLJIVOSTI INFORMACIJA

Uopteno opisati informacije koje sistem procesira i potrebu za zatitnim

mjerama. Povezati manipulisane informacije sa svakim od osnovnih atributa
zatite (poverljivost, integritet, raspoloivost). Za svaku od 3 kategorije indicirati
kvantitativni (novani ekvivalent) ili kvalitativni (Visok, Srednji, Nizak) mjerni
teinski faktor.

Ukljuiti izjavu o procenjenom riziku i veliini tete koja moe nastati od gubitka,
zloupotrebe ili neovlaenog pristupa, modifikacije ili unitavanja podataka/
informacija u sistemu.

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

4 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

UPRAVLJAKE KONTROLE
ANALIZA I UPRAVLJANJE RIZIKOM

Opisati metodologiju procjene rizika korienu za identifikaciju prijetnji i

ranjivosti sistema. Ukljuiti datum voenja analize. Ako ne postoji analiza rizika
u sistemu, ukljuiti krajnji datum do kojeg procjenu rizika treba kompletirati.

PREGLED KONTROLA ZATITE

Navesti svaku nezavisnu reviziju zatite voenu u sistemu u poslednje tri godine

Ukljuiti informacije o tipu izvrene evaluacije zatite, ko je izvrio kontrolu,

namjena kontrole i akcije preduzete na osnovu rezultata kontrole

PRAVILA PONAANJA

Za svaki sistem pojedinano mora se uspostaviti skup pravila ponaanja u pisanoj

formi.Ova pravila treba da budu na raspolaganju svakom korisniku prije dobijanja
prava pristupa sistemu. Preporuuje se da pravila sadre stranicu za potpis
korisnik sa kojim se potvruje prihvatanje.

Pravila ponaanja moraju jasno podvui odgovornosti i oekivana ponaanja

svakog pojedinca sa pravom pristupa sistemu. Moraju biti navedene posledice za
nekonzistentno ponaanje i neusklaenost. Moraju, takoe, biti ukljuena
odgovarajua ogranienja za povezivanje sa drugim sistemima.

Pravila ponaanja u sistemu treba prikljuiti u prilogove sekcije ili ih ugraditi u

sekciju.

PLANIRANJE ZATITE U TOKU IVOTNOG CIKLUSA SISTEMA

Odrediti koja je faza ivotnog ciklusa sistema ili dijela sistema u toku. Opisati
kako je manipulisana zatita u tekuoj fazi ivotnog ciklusa sistema.

Inicijalna faza (pripremna)

Navesti rezultate procjene osjetljivosti podataka/informacija sistema.
Faza razvoja/akvizicije
U toku projektovanja sistema, gdje je zahtjevana zatita?

Gdje odgovarajue kontrole sistema zatite imaju pridruene procedure za

evaluaciju i testiranje, razvijene prije preduzimanja akcije?

Da li pravna dokumenta (n.p.r. Zahtjev za izradu Prijedloga sistema zatite)

ukljuuju zahtjeve za zatitu i procedure za evaluaciju i testiranje?

Da li zahtjevi doputaju modernizaciju zahtjeva za zatitu kada se identifikuju

nove prijetnje/ranjivosti i implementiraju nove tehnologije?

Ako je ovo kupljena komercijalna aplikacija ili aplikacija koja sadri

komercijalno raspoloive komponente, gdje su zahtjevi za zatitu ukljueni u
specifikaciju za nabavku (akviziciju)?

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

5 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

Faza implementacije
Da li su analiza projekta i testiranje sistema provedeni prije postavljanja sistema u
rad? Gdje su dokumenta o testiranju? Da li je sistem sertifikovan?

Da li su kontrole zatite dodavane od razvoja sistema?

Da li je aplikacija podvrgnuta tehnikoj evaluaciji da bi se uvjerili da ispunjava

zahtjeve primjenljivih zakona, regulativa, politika, uputstava i standarda?

Ukljuiti datum sertifikacije i akreditacije. Ako sistem nije jo odobren za rad

ukljuiti datum kada e se napraviti zahtev za akreditaciju sistema.

Faza operativnog rada/odravanja

Plan zatite dokumentuje aktivnosti u oblasti zatiti u ovoj fazi.
Faza odlaganja
Opisati u ovoj sekciji kako se informacije prenose u drugi sistem, arhivu,
suspenduju ili unitavaju. Diskutovati kontrole koje se koriste za obezbeenje
povjerljivosti informacija.

Dali su osjetljivi podaci ifrovani?

Kako se informacije briu i uklanjajuiz sistema?

Dali su informacije ili mediji uklonjeni, prepisani, demagnetisani ili uniteni?

Ovlaeno procesiranje
Obezbjediti datum autorizacije, ime i naslov zvaninog organa koji je autorizovao
sistem.

Ako nije ovlaeno, obezbjediti ime i titulu menadera koji zahtjeva dozvolu za
rad i datum zahteva.

OPERATIVNE KONTROLE
PERSONALNA ZATITA

Dali su sve radne uloge analizirane za dodjelu bezbjednosnog nivoa?

Dali je za svakog pojedinca izvrena bezbjednosna provjera odgovarajua

dodeljenom poloaju?

Dali je pristup korisnika smanjen na minimum, neophodan za izvravanje posla?

Postoji li proces za zahtjevanje, uspostavljanje, izdavanje i zatvaranje korisnikih

naloga?.

Dali su kritine funkcije podjeljene izmeu razliitih lica (princip razdvajanja

dunosti)?

Koji su mehanizmi na raspolaganju za dranje korisnika odgovornim za njihove

akcije?

Koje su prijateljske, a koje ne-prijateljske procedure za raskid radnog ugovora?

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

6 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

FIZIKA I ZATITA OKRUENJA

Diskutovati fiziku zatitu sistema. Opisati zonu u koji se vri procesiranje

informacija (tj. kljueve na radnim stanicama, fizike barijere oko zgrade i zone
procesiranja itd.)

Ukljuiti faktore kao to su PPZ, alternativno napajanje (UPS, agregat), kolaps

strukture, curenje vodovodne mree, intercepcija (presretanje) podataka, mobilne
i portabl sisteme.

PROIZVODNJA, KONTROLE I/O (ULAZ/IZLAZ)

Opisati kontrole iskoriene za oznaavanje, rukovanje, procesiranje, skladitenje i
odlaganje U/I informacija i medija, kao i procedura za oznaavanje i distribuciju
informacija i medija.Kontrole koriene za monitorisanje instalacija, auriranje kontrola i
korieni softver.U ovoj sekciji obezbediti nacrt tekue procedure koja podrava sistem.
U nastavku su uzorci kljunih pitanja koja se moraju navesti (obraditi) u ovoj sekciji:

Podrka korisnika postoji li desk za pomo ili grupa koja daje savjete?

Procedure koje obezbjeuju da neovlaeni korisnici ne mogu itati, kopirati,

mijenjati ili ukrasti odtampanu ili elektronsku informaciju.

Procedure koje obezbjeuju da samo ovlaeni korisnici uzimaju, primaju ili

isporuuju I/U informacije i medije.

Registrovani kontrolni tragovi za potvrdu ranjivosti I/U informacija.

Procedure za restrikciju pristupa izlaznim proizvodima.

Procedure i kontrole koje se koriste za prenos ili slanje medija ili tampanih
izlaznih materijala potom.

Interno/eksterno oznaavanje za osetljivost (npr. DT, SP, Pov, Int, Osetljive

neklasifikovane i dr.) informacija.

Spoljno oznaavanje sa specijalnom instrukcijom za rukovanje (npr. identifikatori

za log datoteke/imovinu, kontrolisan pristup, specijalne instrukcije za
skladitenje, datum izdavanja ili unitavanja).

Kontrolni trag za nadzor procesa upravljanja objektima IKT sistema.

Kontrole/procedure za skladitenje medija.

Procedure za saniranje elektronskih medija za korienje (tj. prepisivanje ili

demagnetizacija)

Procedure za kontrolisano skladitenje, rukovanje ili unitavanje pokvarenih i

rashodovanih medija ili medija koji ne mogu biti efikasno sanirani za dalje
korienje.

Procedure za seckanje ili unitavanje na drugi nain tampanog materijala kada

vie nisu potrebni.

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

7 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

PLANIRANJE VANREDNIH MJERA

Kratko opisati procedure (Plan vanrednih mjera) kojeg treba slijediti da se obezbjedi
nastavak procesiranja kritinih aplikacija, ako se dogodi katastrofalni incident. Ako
postoji formalan Plan za vanredni dogaaj pozvati se na njega i navesti ga u prilogu.
Obraditi sledea pitanja:

Navesti svaki sporazum o procesu bekapovanja.

Dokumentovane procedure za bekapovanje sa ukljuenom frekvencijom (dnevno,

sedmino, meseno) i obimom (potpuno, delimino, diferencirano bekapovanje).

Lokacija uskladitenih bekapovanih podataka i informacija i generacije

odravanih bekapovanih kopija.

Dali je sainjen i verifikovan (testiran) Plan za vanredne dogaaje? Kako se esto

plan testira?

Dali su svi zaposleni osposobljeni za svoje uloge i odgovornosti u odnosu na hitne

sluajeve, katastrofu i druge mjere iz vanrednog plana?

KONTROLE ZA ODRAVANJE SISTEMSKOG HARDVERA I SOFTVERA

Restrikcije/kontrole lica koja vre odravanje i popravke.

Specijalne procedure za popravke i odravanje u vanrednim prilikama.

Procedure koje se koriste za dijelove sistema koji se servisiraju na licu mjesta i

one koji se servisiraju u dislociranom servisu (npr. pratnja osoblju za odravanje i
saniranje opreme koja se iznosi sa lokacije).

Procedure koje se koriste za kontrolu servisa za odravanja sa daljine, gdje se

dijagnostike procedure i odravanje izvravaju kroz telekomunikacione kanale.

Kontrola verzije koja omoguava

odgovarajuim verzijama sistema.

Procedure za testiranje/ili odobravanje komponenti sistema (OS, drugog sistema,

korisnikih alata, aplikacija) prije putanje u rad.

Analiza uticaja za odreivanje efekata predloenih promjena postojeih kontrola

zatite, da bi se ukljuile obuka tehnikog osoblja i korisnika o promjenama
hardvera/softvera.

Da li su podaci testiranja ivi podaci ili sainjeni podaci?

Postoje li politike organizacije protiv ilegalnog korienja kopiranog ili erovanog

softvera?

zdruivanje

komponenti

sistema

sa

KONTROLE INTEGRITETA

Da li je instaliran softver za detekciju i eliminaciju virusa? Ako jeste, postoje li

procedure za auriranje datoteka definicija virusa, automatskog/ili manuelnog
skeniranja virusa, dezinfekcije i karantizacije i izvjetavanja.

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

8 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

Da li sistem koristi rutine za korekcije, tj. ek-sume, ukupan he, registrovanje

zbira? Ukljuiti opis akcija preduzetih za rjeavanje bilo koje neusklaenosti.

Da li se koristi kreker/eker pasvorda?

Da li aplikacije koriste programe za verifikaciju integriteta za traenje dokaza

proboja u podatke, greaka ilipogreki?

Da li je u sistemu instaliran alat za kontrolu upada u sistem (IDS)?

Da li se koristi monitoring rada sistema kroz analizu sistemskih log datoteka za

traenje problema u realnom vremenu, ukljuujui aktivne napade, usporavanje
rada ili pad sistema i mree?

Da li je izvreno testiranje sistema na proboj? Ako jeste, koje procedure postoje

da se obezbjedi kontrola pravilnog izvoenja procesa testiranja?

Da li se koristi autentifikacija poruka u sistemu da bi se osiguralo poznavanje

poiljaoca poruka i da poruka nije izmenjena u prenosu.

DOKUMENTACIJA
Dokumentacija sistema ukljuuje opis hardvera i softvera, politike, standarde, procedure i
dozvole koje se odnose na automatizovan sistem zatite IS, bekpovanje i plan vanrednih
mjera, kao i procedure za opis korisnika i operatora.

Navesti dokumentaciju koja postoji za sistem (dokumentacija isporuioca IKT

opreme, funkcionalni zahtjevi, plan zatite, korisnika uputstva za programe,
dokumenti o rezultatima testova, standardne radne procedure, procedure za
vanredne mjere, plan vanrednih mjera, korisnika pravila/procedure, analiza i
procjena rizika, autorizacija za procesiranje, analiza verifikacija/inspekcija
lokacija).

SVIJEST O POTREBI I OBUKA

Program razvoja svijesti o potrebi zatite (posteri, propagandni materijal i sl.).

Vrsta i frekvencija obuke u optem sistemu obuke za zaposlene i lica po ugovoru

(seminari, radionice, formalna razredna nastava, fokusirana obuka grupe, obuka
na bazi uloga i obuka na bazi poslova).

Procedure koje obezbeuju adekvatnu obuku zaposlenih i lica po ugovoru.

KAPACITETI ZA UPRAVLJANJE INCIDENTOM

Postoje li procedure za izvetavanje incidenata kojima rukuju specijalisti u

sistemu ili su izvana?

Postoje li procedure za prepoznavanje i upravljanje incidentom, npr. koje datoteke

i logove treba uvati, koga kontaktirati i kada?

Ko prima i odgovara na uzbunu/napade, npr., zakrpe isporuioca, iskoriene

ranjivosti?

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

9 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

Koje preventivne mere su preduzete, npr., IDS, automatska log datoteka za

inspekciju, testiranje upada?

TEHNIKE KONTROLE
IDENTIFIKACIJA I AUTENTIFIKACIJA
Opisati metod autentifikacije korisnika (lozinka, token i biometrijski). Ako se koristi
sistem pasvorda (lozinki), obezbjediti sledee specifine informacije:
1. Minimum maksimum duine pasvorda ,
2. Doputen set karaktera,
3. Vrijeme zamjene pasvorda i obavezne mjere,
4. Broj generacija pasvorda kojima je istekao rok za upotrebu,
5. Procedure za promjenu pasvorda,
6. Procedure za rukovanje sa izgubljenim pasvordima,
7. Procedure za rukovanje sa kompromitovanim pasvordima,
8. Procedure za obuku korisnika,
9. Indicirati frekvencije promjene pasvorda, opisati kako se namee obaveza
promjene pasvorda (n.p.r. softverski ili od strane sistem administratora) i
identifikovati ko mijenja pasvorde (korisnici, sistem, ili administrator sistema).
10. Opisati sve biometrijske kontrole koje se koriste. Ukljuiti opis kako su
biometrijske kontrole implementirane u sistem,
11. Opisati sve koriene token kontrole u sistemu i kako su implementirane,
12. Opisati nivo nametanja obaveza mehanizama za kontrolu pristupa (mrei, OS,
aplikacijama),
13. Opisati kako AC mehanizam podrava kontrolisanu odgovornost i kontrolni trag
za inspekciju (npr. pasvord je pridruen identifikatoru korisnika koji je pripisan
svakom pojedinanom licu),
14. Opisati tehnike samozatite, za mehanizam autentifikacije korisnika (npr. pasvord
se prenosi i skladiti i ifruje sa jednosmjernom he funkcijom za spreavanje
svakog, ukljuujui i sistem administratora, da ita otvoren tekst pasvorda,
pasvord se generie automatski, pasvord se provjerava sa rijenikom i listom
potroenih pasvorda),
15. Navesti broj nekorektnih pokuaja pristupa koji se moe desiti za dati
identifikator korisnika ili lokaciju pristupa (terminal ili port) i opisati akcije
preduzete kada ogranienje istekne,
16. Opisati procedure za verifikaciju da su svi sistemski obezbeeni administrativni
pasvordi podrazumevano podeeni, promenjeni,
17. Opisati procedure za ograniavanje pristupa skriptu AC sa ugraenim pasvordom
(npr. ovaj skript je zabranjen ili samo doputen za batch aplikacije),
Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

10 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

18. Opisati sve politike koje su obezbjeene za zaobilazak zahtjeva za autentifikaciju

korisnika, single-sign-on tehnologije (npr. host- to- host, autentifikacioni serveri,
user-to-host identifikator i identifikator grupe korisnika) i sve kontrole koje to
kompenzuju,
19. Ako se koristi digitalni potpis (DS), tehnologija mora biti usaglaena sa
prihvaenim standardom. Opisati svako korienje DS.
LOGIKE KONTROLE PRISTUPA

Diskutovati postojee kontrole za autorizaciju i restrikciju aktivnosti korisnika i

personala zaposlenog u sistemu. Opisati karakteristike projektovanog hardvera ili
softvera koji doputa samo autorizovan pristup ka ili u sistemu, redukuje
korisnike na ovlaene transakcije i funkcije, i/ili detektuje neovlaene aktivnosti
(npr. sa ACL-liste kontrole pristupa).

Kako su prava pristupa dodjeljena? Da li su privilegije bazirane na poslovnim

funkcijama?

Opisati sposobnost sistema da uspostavi ACL ili registar.

Opisati kako su korisnici sprijeeni da pristupaju OS, drugim aplikacijama ili

resursima sistema koji nisu neophodni za obavljanje njihovih poslova.

Opisati kontrole za detekciju pokuaja neovlaenih transakcija od strane

ovlaenih/neovlaenih korisnika. Opisati sve restriktivne mere koje spreavaju
korisnika da pristupi sistemu ili aplikacijama izvan normalnog radnog vremena ili
tokom vikenda.

Indicirati nakon kojeg perioda neaktivnosti korisnika sistem automatski brie

ekran monitora i/ili nakon kojeg perioda neaktivnosti korisnika sistem automatski
iskljuuje (odspaja) neaktivnog korisnika ili zahteva unoenje jedinstvenog
pasvorda pre ponovnog povezivanja na sistem ili aplikacije.

Indicirati, ako se koristi ifrovanje za spreavanje pristupa osjetljivim datotekama

kao dio sistema ili procedure za aplikaciju AC.

Opisati faktore za izbor korienja ili ne korienja upozorenja i objezbediti

primer korienja upozorenja. Ako je prikladno navesti koje institucije/agencije
(Ministarstvo pravde, Zavod za intelektualnu svojinu) odobravaju oznake
upozorenja.

KONTROLNI TRAGOVI

Da li ova aktivnost podrava odgovornost obezbjeujui tragove akcija korisnika?

Da li su tragovi za nadzor i kontrolu dizajnirani i implementirani da registruju

odgovarajue informacije koje mogu pomoi u detekciji upada?

Da li tragovi za nadzor i kontrolu ukljuuju dovoljno informacija za

uspostavljanje odgovora na to kada je i ko izazvao dogaaj? (tip dogaaja, kada se
dogaaj desio, koji je korisnik izazvao dogaaj, koji je program ili komandu
koristio da inicira dogaaj).

Da li je on-line pristup log datotekama za kontrolu striktno nametnut i propisan?

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

11 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

Da li je poverljivost podataka kontrolnih tragova zatiena ako, na primer, sadri

personalne informacije o korisnicima?

Opisati koliko esto se kontrolni tragovi analiziraju i da li za to postoji uputstvo?

Da li odgovarajui administrator na nivou sistema ili nivou aplikacije pregleda i

analizira tragove, slijedei poznati problem sistema ili aplikacije, poznatu povredu
postojeih zahtjeva od strane korisnika, ili neki neobjanjiv sistemski ili
korisniki problem?

ZAKLJUAK
Ovo su samo neki od standard kojih bi se trebali pridravati prilikom zatite sistema.
Zavisno od sistema i informacija koje elimo da budu uvane od neeljenog koritenja
planiraemo system zatite. Kako prohtjevi za zatitom rastu tako se i cijena poveava.
Koritenjem provjerene opreme( hardvera i softvera ) te njihova instalacija od strane
strunih ljudi , osposobljenih korisnika koji koriste resurse nekog sistema te pridravanje
pravila i procedura mogu se smanjiti rizici za ugroavanje bezbjednosti sistema.

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

12 / 13

Predmet: Zatita raunarskih mrea

Seminarski rad

Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji

13 / 13