Professional Documents
Culture Documents
Izrada Sistema Za Upravljanje Informatickom Bezbjednoscu U Organizaciji
Izrada Sistema Za Upravljanje Informatickom Bezbjednoscu U Organizaciji
2
UVOD..........................................................................................................................................................................................3
ISTORIJAT ISO/IEC 27001:2005 STANDARDA.........................................................................................................................3
OPTE KONTROLE.....................................................................................................................................................................5
ODGOVORNOST ZA ZATITU...............................................................................................................................................5
OKRUENJE SISTEMA..........................................................................................................................................................5
UNUTRANJE VEZE U SISTEMU/DIJELJENJE INFORMACIJA..............................................................................................5
PRIMJENLJIVI ZAKONI ILI REGULATIVE KOJE UTIU NA SISTEM......................................................................................5
OPTI OPIS OSJETLJIVOSTI INFORMACIJA.............................................................................................................................5
UPRAVLJAKE KONTROLE....................................................................................................................................................6
ANALIZA I UPRAVLJANJE RIZIKOM....................................................................................................................................6
PREGLED KONTROLA ZATITE.................................................................................................................................................6
PRAVILA PONAANJA.............................................................................................................................................................6
PLANIRANJE ZATITE U TOKU IVOTNOG CIKLUSA SISTEMA........6
Inicijalna faza (pripremna)...........................................................................................................................................................6
Faza razvoja/akvizicije................................................................................................................................................................6
Faza implementacije..................................................................................................................................................................7
Faza operativnog rada/odravanja....................................................................................................................................................7
Faza odlaganja................................................................................................................................................................................7
Ovlaeno procesiranje.................................................................................................................................................................7
OPERATIVNE KONTROLE..........................................................................................................................................................7
PERSONALNA ZATITA..............................................................................................................................................................7
FIZIKA I ZATITA OKRUENJA...........................................................................................................................................8
PROIZVODNJA, KONTROLE I/O (ULAZ/IZLAZ)...................................................................................................................8
PLANIRANJE VANREDNIH MJERA...............................................................................................................................................8
KONTROLE ZA ODRAVANJE SISTEMSKOG HARDVERA I SOFTVERA.............................................................................9
KONTROLE INTEGRITETA...................................................................................................................................................9
DOKUMENTACIJA................................................................................................................................................................10
SVIJEST O POTREBI I OBUKA...........................................................................................................................................10
KAPACITETI ZA UPRAVLJANJE INCIDENTOM.................................................................................................................10
TEHNIKE KONTROLE.......................................................................................................................................................10
IDENTIFIKACIJA I AUTENTIFIKACIJA..............................................................................................................................................10
LOGIKE KONTROLE PRISTUPA........................................................................................................................................................11
KONTROLNI TRAGOVI.........................................................................................................................................................................12
Seminarski rad
ZAKLJUAK....13
UVOD
U ovom radu je razmatrana izrada sistema upravljanja informatikom bezbednou
(ISMS Information Security Management System) u skladu sa ISO/IEC 27001:2005
standardom u organizaciji. Objanjen je ISO/IEC 27001:2005 standard, te pravila i
procedure kojih se moramo pridravati prilikom realizacije bezbjednosti informacionog
sistema, kao i mnoga druga pitanja na koja bi se trebalo odgovoriti prilikom pravljenja
plana za zatitu informacionog sistema.
2 / 13
Seminarski rad
3 / 13
Seminarski rad
OPTE KONTROLE
ODGOVORNOST ZA ZATITU
Ime lica odgovornog za zatitu sistema ( u sluaju bilo kakvog problema ako se
desi da se zna odgovorna osoba koja e da obrazloi zato se neto desilo ili nije )
OKRUENJE SISTEMA
Obezbjediti opti opis tehnikog sistema. Ukljuiti sve faktore okruenja ili
tehnike koji zahtjevaju posebne mjere zatite (dial-up, otvorena mrea-OSI itd.)
Ako neka veza sa spoljnim sistemom nije obuhvaena planom zatite, obezbjediti
kratku diskusiju bilo kojeg bezbjednosnog problema kojeg treba razmatrati u
sistemu zatite
Ukljuiti izjavu o procenjenom riziku i veliini tete koja moe nastati od gubitka,
zloupotrebe ili neovlaenog pristupa, modifikacije ili unitavanja podataka/
informacija u sistemu.
4 / 13
Seminarski rad
UPRAVLJAKE KONTROLE
ANALIZA I UPRAVLJANJE RIZIKOM
Navesti svaku nezavisnu reviziju zatite voenu u sistemu u poslednje tri godine
PRAVILA PONAANJA
Odrediti koja je faza ivotnog ciklusa sistema ili dijela sistema u toku. Opisati
kako je manipulisana zatita u tekuoj fazi ivotnog ciklusa sistema.
5 / 13
Seminarski rad
Faza implementacije
Da li su analiza projekta i testiranje sistema provedeni prije postavljanja sistema u
rad? Gdje su dokumenta o testiranju? Da li je sistem sertifikovan?
Ovlaeno procesiranje
Obezbjediti datum autorizacije, ime i naslov zvaninog organa koji je autorizovao
sistem.
Ako nije ovlaeno, obezbjediti ime i titulu menadera koji zahtjeva dozvolu za
rad i datum zahteva.
OPERATIVNE KONTROLE
PERSONALNA ZATITA
6 / 13
Seminarski rad
Podrka korisnika postoji li desk za pomo ili grupa koja daje savjete?
Procedure i kontrole koje se koriste za prenos ili slanje medija ili tampanih
izlaznih materijala potom.
7 / 13
Seminarski rad
zdruivanje
komponenti
sistema
sa
KONTROLE INTEGRITETA
8 / 13
Seminarski rad
DOKUMENTACIJA
Dokumentacija sistema ukljuuje opis hardvera i softvera, politike, standarde, procedure i
dozvole koje se odnose na automatizovan sistem zatite IS, bekpovanje i plan vanrednih
mjera, kao i procedure za opis korisnika i operatora.
9 / 13
Seminarski rad
TEHNIKE KONTROLE
IDENTIFIKACIJA I AUTENTIFIKACIJA
Opisati metod autentifikacije korisnika (lozinka, token i biometrijski). Ako se koristi
sistem pasvorda (lozinki), obezbjediti sledee specifine informacije:
1. Minimum maksimum duine pasvorda ,
2. Doputen set karaktera,
3. Vrijeme zamjene pasvorda i obavezne mjere,
4. Broj generacija pasvorda kojima je istekao rok za upotrebu,
5. Procedure za promjenu pasvorda,
6. Procedure za rukovanje sa izgubljenim pasvordima,
7. Procedure za rukovanje sa kompromitovanim pasvordima,
8. Procedure za obuku korisnika,
9. Indicirati frekvencije promjene pasvorda, opisati kako se namee obaveza
promjene pasvorda (n.p.r. softverski ili od strane sistem administratora) i
identifikovati ko mijenja pasvorde (korisnici, sistem, ili administrator sistema).
10. Opisati sve biometrijske kontrole koje se koriste. Ukljuiti opis kako su
biometrijske kontrole implementirane u sistem,
11. Opisati sve koriene token kontrole u sistemu i kako su implementirane,
12. Opisati nivo nametanja obaveza mehanizama za kontrolu pristupa (mrei, OS,
aplikacijama),
13. Opisati kako AC mehanizam podrava kontrolisanu odgovornost i kontrolni trag
za inspekciju (npr. pasvord je pridruen identifikatoru korisnika koji je pripisan
svakom pojedinanom licu),
14. Opisati tehnike samozatite, za mehanizam autentifikacije korisnika (npr. pasvord
se prenosi i skladiti i ifruje sa jednosmjernom he funkcijom za spreavanje
svakog, ukljuujui i sistem administratora, da ita otvoren tekst pasvorda,
pasvord se generie automatski, pasvord se provjerava sa rijenikom i listom
potroenih pasvorda),
15. Navesti broj nekorektnih pokuaja pristupa koji se moe desiti za dati
identifikator korisnika ili lokaciju pristupa (terminal ili port) i opisati akcije
preduzete kada ogranienje istekne,
16. Opisati procedure za verifikaciju da su svi sistemski obezbeeni administrativni
pasvordi podrazumevano podeeni, promenjeni,
17. Opisati procedure za ograniavanje pristupa skriptu AC sa ugraenim pasvordom
(npr. ovaj skript je zabranjen ili samo doputen za batch aplikacije),
Tema: Izrada sistema za upravljanje informatikom bezbjednou u organizaciji
10 / 13
Seminarski rad
KONTROLNI TRAGOVI
11 / 13
Seminarski rad
ZAKLJUAK
Ovo su samo neki od standard kojih bi se trebali pridravati prilikom zatite sistema.
Zavisno od sistema i informacija koje elimo da budu uvane od neeljenog koritenja
planiraemo system zatite. Kako prohtjevi za zatitom rastu tako se i cijena poveava.
Koritenjem provjerene opreme( hardvera i softvera ) te njihova instalacija od strane
strunih ljudi , osposobljenih korisnika koji koriste resurse nekog sistema te pridravanje
pravila i procedura mogu se smanjiti rizici za ugroavanje bezbjednosti sistema.
12 / 13
Seminarski rad
13 / 13